Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 10 oktober 2017 en het nader rapport d.d. 8 december 2017, aangeboden aan de Koning door de Minister voor Rechtsbescherming, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Bij Kabinetsmissive van 15 juni 2017, no. 2017000979, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Veiligheid en Justitie, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming), met memorie van toelichting.

Het wetsvoorstel geeft uitvoering aan de Algemene Verordening Gegevensbescherming (AVG). Zo regelt het voorstel onder meer de instelling en inrichting van een nationale toezichthouder (de Autoriteit Persoonsgegevens) en de bevoegdheid van die toezichthouder om bestuurlijke boetes op te leggen. De AVG is geen gemiddelde verordening. Zij beoogt bescherming te bieden aan een – ook in de Nederlandse Grondwet gewaarborgd – fundamenteel recht en geeft daarmee uitwerking aan artikel 7 en 8 van het Handvest van de Grondrechten van de Europese Unie (het Handvest) en artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Dit fundamentele recht zal op grond van de AVG nader worden uitgewerkt door middel van pseudo-regelgeving («soft law») van het onafhankelijke Europees Comité voor gegevensverwerking, regelgeving die zich aan de invloedssfeer van de lidstaten onttrekt. De AVG is bovendien niet gemiddeld omdat zij richtlijn-achtige kenmerken draagt; weliswaar is het grootste gedeelte ervan rechtstreeks toepasselijk in de lidstaten en behoeft zij op die onderdelen dan ook geen omzetting in nationaal recht, maar op bepaalde onderdelen laat de AVG ruimte aan de lidstaten om bij nationale wet nadere regels te stellen. De Uitvoeringswet vult die ruimte op enkele belangrijke onderdelen in. Het gaat dan bijvoorbeeld om de uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken en de mogelijkheden om beperkingen aan te brengen op de rechten en verplichtingen die voortvloeien uit de AVG.

De Afdeling advisering van de Raad van State wijst erop dat de bescherming van persoonsgegevens in steeds sterkere mate een Europeesrechtelijke aangelegenheid is geworden. Dat heeft geleid tot een constitutioneel relevante verschuiving; het grondrecht op bescherming van persoonsgegevens wordt als gevolg van de AVG hoofdzakelijk geregeld en bepaald op EU-niveau. De ontwikkeling in de richting van verdere Europese integratie op dit punt zal naar verwachting de komende jaren doorgaan. De Afdeling adviseert inzichtelijk te maken wat de consequenties hiervan zijn, in het bijzonder als het gaat om de in de AVG vastgelegde systematiek van samenwerking en coherentie van toezichthouders. Voorts is – voor zover de AVG ruimte laat voor regeling door de nationale wetgever – een inhoudelijkere afweging nodig als het gaat om de vraag of en zo ja, op welke wijze van die ruimte gebruik wordt gemaakt. De toelichting zou op dit punt aangevuld moeten worden.

De AVG voorziet in een gelaagde toezichtsstructuur, waarbinnen zowel nationale toezichthouders als het Europees Comité voor gegevensverwerking taken en bevoegdheden hebben. Gegeven de onafhankelijkheid van de toezichthouders op beide niveaus in samenhang met hun verstrekkende taken en bevoegdheden, dient duidelijkheid te bestaan over de openbaarheid van hun werkwijze, over de wijze waarop de toezichthouders belanghebbenden bij hun besluiten en bij andere handelingen die zij verrichten, betrekken en hoe zij verantwoording afleggen over de uitoefening van hun taken en bevoegdheden. Dit geldt in het bijzonder voor het Europees Comité voor gegevensverwerking dat op grond van de AVG bevoegd is pseudo-regels (in de vorm van richtsnoeren, aanbevelingen en beste praktijken) vast te stellen. De toelichting zou onder meer inzichtelijk moeten maken op welke wijze de raadpleging en verantwoording door het Comité zal plaatsvinden en daarbij duidelijk te maken of de «checks and balances» zoals voorzien in de AVG als toereikend worden beoordeeld.

De Afdeling adviseert de toelichting ook met betrekking tot de uitvoeringsaspecten substantieel te versterken. De gevolgen van de AVG voor burgers, bedrijven en overheden zullen aanzienlijk zijn. Ook de bekendheid met de naderende veranderingen lijkt nog te wensen over te laten. Gevoegd bij de structurele problemen in de uitvoeringspraktijk onder de bestaande wetgeving, zal de komende periode een majeure inspanning nodig zijn om de AVG en de daarmee samenhangende wetgeving op een aanvaardbaar niveau uitgevoerd te krijgen. De toelichting geeft van de urgentie daarvan onvoldoende blijk. Daarbij merkt de Afdeling op dat de regering, ondanks de Europese oorsprong van de nieuwe regels en de rechtstreekse toepasselijkheid daarvan, mede verantwoordelijk is voor een effectieve uitvoering van de AVG in de Nederlandse samenleving. In het licht van de technologische ontwikkelingen zou in de noodzakelijke uitvoeringsbegeleiding ook nadrukkelijk aandacht besteed dienen te worden aan de wijze waarop deze ontwikkelingen kunnen worden geïncorporeerd in de praktische toepassing van de AVG en de Uitvoeringswet.

Blijkens de mededeling van de Directeur van Uw kabinet van 15 juni 2017, nr. 2017000979, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 10 oktober 2017, no. W03.17.0166/II, bied ik U hierbij aan.

1. Inleiding

Het voorliggende wetsvoorstel geeft uitvoering aan de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van kracht zal worden. De AVG vervangt Richtlijn 95/46/EG waarop de huidige Wet bescherming persoonsgegevens is gebaseerd. De AVG is, samen met de Richtlijn gegevensbescherming opsporing en vervolging,2 de weerslag van een integrale herziening van het EU-gegevensbeschermingsrecht.3 Het implementatiewetsvoorstel voor de Richtlijn gegevensbescherming opsporing en vervolging en de aanpassingswetgeving voor verschillende sectorale wetten volgen op een later moment. Deze integrale herziening van het gegevensbeschermingsrecht is inhoudelijk en procedureel ingrijpend. Zij heeft vergaande gevolgen voor de Nederlandse wetgeving en de daarop gebaseerde uitvoeringspraktijk.

a. Inhoud AVG

De AVG waaraan het onderhavige wetsvoorstel uitvoering geeft, brengt een aantal forse veranderingen, maar is tegelijkertijd een voortzetting van de huidige Richtlijn 95/46/EG.4 In verhouding tot het bestaande wettelijk regime kan de AVG als volgt worden samengevat:

• – De beginselen van de verwerking van persoonsgegevens komen in hoofdlijnen overeen met die van de richtlijn (beginselen van rechtmatigheid, behoorlijkheid en transparantie, beginsel van doelbinding, beginsel van dataminimalisatie, beginsel van juistheid, beginsel van opslagbeperking, beginsel van integriteit en vertrouwelijkheid). Wel is de verplichting om gegevens transparant te verwerken grotendeels nieuw en uitgebreider geregeld ten opzichte van de richtlijn.

• – De belangrijkste definities en het materiële toepassingsbereik blijven in beginsel gelijk. Verandering is er in het territoriale toepassingsbereik: de verordening kan ook van toepassing zijn op een niet in de Unie gevestigde verantwoordelijke.

• – De rechten van betrokkene komen voor een belangrijk deel overeen met de richtlijn, maar zijn ook op een aantal punten uitgebreid. Nieuw zijn het recht om te worden vergeten en het recht om gegevens mee te nemen (gegevensoverdraagbaarheid).5 Deels nieuw is voorts het recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming, waaronder profilering.

• – In de positie van de verwerkingsverantwoordelijke en de verwerker vinden enkele grote wijzigingen plaats. De AVG introduceert een algemene verantwoordingsplicht voor de verwerkingsverantwoordelijke.6 De voorafgaande meldingsplicht bij alle gegevensverwerkingen verdwijnt, maar wordt vervangen door een aantal andere verplichtingen voor de verwerkingsverantwoordelijke.

• – In het toezicht brengt de AVG forse veranderingen. De nationale toezichthoudende autoriteit wordt onder de AVG nog onafhankelijker van de lidstaat gepositioneerd dan thans het geval is. Bovendien worden de nationale toezichthouders ingebed in een Europese structuur onder het Europees Comité voor gegevensbescherming. Het doel hiervan is om een zo eenduidig mogelijke uitleg van de verordening te bewerkstelligen (samenwerking en coherentie).7 De verordening bevat ter uitwerking van dit gelaagde toezichtssysteem uitvoerige en gecompliceerde voorschriften.8

• – Ook het hoofdstuk dat ziet op beroep, aansprakelijkheid en sancties verschilt substantieel ten opzichte van de richtlijn.9 De meest in het oog springende hiervan is een uitgebreide bepaling over sancties, waarin de basis wordt gelegd om administratieve geldboetes op te leggen, oplopend tot € 20 miljoen of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar.10

b. Toekomstige ontwikkelingen

De AVG reguleert een terrein dat sterk beïnvloed wordt door de steeds sneller gaande technologische ontwikkelingen. Hoewel de AVG op hoofdlijnen een voortzetting vormt van het in Richtlijn 95/46/EG neergelegde regelgevingskader, brengt de AVG met het oog op deze ontwikkelingen op een (beperkt) aantal punten vernieuwingen. Voorbeelden daarvan zijn het uitgebreide recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (waaronder profilering)11 en de verplichting voor de verwerkingsverantwoordelijke om gebruik te maken van «privacy by design» en «privacy by default».12 Gezien de snelheid van innovatie op dit gebied realiseert de Afdeling zich dat ook de ontwikkeling van het gegevensbeschermingsrecht door zal (moeten) gaan. Een voorbeeld daarvan biedt het voorstel voor een e-Privacyverordening dat begin 2017 gepubliceerd is en dat de e-Privacyrichtlijn (Richtlijn 2002/58/EG) moet vervangen. Deze verordening dient ter aanvulling van het beschermingskader van de AVG waar het betreft elektronische communicatie. Het voorstel bevat onder meer regels over het gebruik van cookies en vergelijkbare technieken en regels die – rekening houdend met moderne technieken – het communicatiegeheim moeten beschermen in de elektronische communicatiesector. Het is de bedoeling dat ook die verordening op 25 mei 2018 in werking treedt.13

Het vorenstaande maakt duidelijk dat het nieuwe gegevensbeschermingsrecht geen rustig bezit is. De technologische ontwikkelingen hebben op termijn mogelijk ook gevolgen voor de beginselen die ten grondslag liggen aan de AVG, zoals het beginsel van doelbinding en het beginsel van dataminimalisatie. Met het oog daarop zal moeten blijken in hoeverre het nu tot stand gekomen regelingskader toekomstbestendig is. De gevolgen van de technologische ontwikkelingen zullen echter ook nu al merkbaar zijn in de uitvoeringspraktijk. In punt 4b van dit advies vraagt de Afdeling daarvoor nadere aandacht.

c. Karakter AVG en gevolgen voor implementatie

De Afdeling onderstreept het belang van de AVG en van de daarmee beoogde bescherming. Burgers moeten het vertrouwen kunnen hebben dat er met hun persoonsgegevens op een zorgvuldige en transparante wijze wordt omgegaan. In het licht daarvan is kwalitatief goede wetgeving met betrekking tot de bescherming van persoonsgegevens, ook vanwege de snel toenemende technische mogelijkheden, cruciaal. De AVG gaat daarom terecht uit van een hoog beschermingsniveau. Tegelijkertijd meent de Afdeling dat het nieuwe EU-gegevensbeschermingsrecht, ook in verhouding tot het bestaande wettelijke regime, zeer complex is en met het oog op de nadere uitwerking in de wetgeving en in de uitvoeringspraktijk veel vragen oproept en nog zal oproepen. Deze komen in dit advies, dat alleen betrekking heeft op de onderhavige Uitvoeringswet, maar beperkt aan bod.

De AVG is geen gemiddelde verordening. Zij beoogt bescherming te bieden aan een – ook in de Nederlandse Grondwet gewaarborgd – fundamenteel recht en geeft daarmee uitwerking aan artikel 7 en 8 Handvest en artikel 16 VWEU. Dit fundamentele recht zal op grond van de AVG nader worden uitgewerkt door middel van pseudo-regelgeving («soft law») van het onafhankelijke Europees Comité voor gegevensverwerking, regelgeving die zich aan de invloedssfeer van de lidstaten onttrekt. De AVG is bovendien niet gemiddeld omdat het grootste gedeelte daarvan weliswaar rechtstreeks toepasselijk is en op die onderdelen dan ook geen omzetting behoeft in nationaal recht, maar op bepaalde onderdelen ruimte laat aan de lidstaten om bij nationale wet nadere regels te stellen. De AVG heeft daardoor een gemengd karakter; naast rechtstreeks toepasselijke bepalingen bevat zij voorschriften met richtlijn-achtige kenmerken. De ruimte die de AVG biedt vraagt om goed beargumenteerde keuzes van de nationale wetgever.

De regering heeft er voor gekozen de vorengenoemde ruimte zo veel mogelijk beleidsneutraal in te vullen. De noodzaak om de uitvoeringswetgeving tijdig tot stand te brengen is blijkens de toelichting voor die keuze een belangrijke factor geweest. Dat leidt ertoe dat volstaan wordt met een Uitvoeringswet waarin hoofdzakelijk alleen een toezichthouder wordt ingesteld en een beperkt aantal bevoegdheden wordt toegekend en die voorzien is van een beperkte memorie van toelichting. De Afdeling merkt echter op dat het bijzondere karakter van de AVG zoals hiervoor beschreven daardoor niet voldoende tot uitdrukking komt. Gegeven de beschreven aard van de verordening kiest de Afdeling in haar advies dan ook voor een bredere benadering en maakt zij enkele opmerkingen over de rol van de wetgever, het belang van een goede toelichting bij deze Uitvoeringswet en de noodzaak om te komen tot een samenhangend uitvoeringsprogramma.

d. Leeswijzer advies

De Afdeling beperkt zich in dit advies tot enkele hoofdlijnen. In deel I maakt zij enkele algemene opmerkingen over het nieuwe regime. Deze hebben met name betrekking op de verschuiving van bevoegdheden van de lidstaten naar de Europese Unie op het terrein van de bescherming van persoonsgegevens en de gevolgen van die verschuiving voor de wetgever, het toezicht en de uitvoeringspraktijk. Deel II van het advies bevat specifiekere opmerkingen die samenhangen met de verhouding tussen de AVG enerzijds en de keuzes die gemaakt zijn in de Uitvoeringswet anderzijds. De Afdeling beperkt zich daarbij tot enkele wezenlijke onderdelen van de AVG.

1. Inleiding

Graag onderschrijven wij de constatering van de Afdeling advisering van de Raad van State (de Afdeling advisering) dat de Algemene verordening gegevensbescherming (AVG) geen gemiddelde verordening is. Niet alleen materieel is er sprake van een bijzondere verordening omdat de AVG dient ter bescherming van een fundamenteel recht maar, gezien de richtlijn-achtige kenmerken van de AVG, is het ook formeel geen doorsnee verordening. En daarmee is de Uitvoeringswet Algemene verordening gegevensverwerking (Uitvoeringswet) ook geen gemiddelde Uitvoeringswet. Weliswaar behoeft het merendeel van de bepalingen van de AVG geen omzetting in nationaal recht, sterker nog mag het merendeel van de bepalingen niet worden omgezet omdat deze op grond van de AVG straks rechtstreeks van toepassing zijn, toch bevat de Uitvoeringswet op onderdelen ook zelf belangrijke materiële normen. Na 25 mei 2018 zal de Uitvoeringswet dan ook in nauwe samenhang met de AVG het kader vormen dat verwerkingsverantwoordelijken in acht moeten nemen, waaraan gegevensverwerkingen dienen te voldoen en waaraan betrokkenen hun rechten ontlenen.

Ook kunnen we ons vinden in de constatering van de Afdeling advisering dat de beginselen van de verwerking van persoonsgegevens in hoofdlijnen overeenkomen met hetgeen nu op grond van de huidige Richtlijn 95/46/EG (de richtlijn) en de daarop gebaseerde Wet bescherming persoonsgegevens (Wbp) al geldt. De meest ingrijpende gevolgen zullen voelbaar zijn voor de verwerkingsverantwoordelijken, maar deze wijzigingen vloeien stuk voor stuk direct voort uit de AVG. Het voorliggende wetsvoorstel is gebaseerd op de ruimte die de AVG biedt voor nationale keuzes. Omwille van de uitvoerbaarheid en om de implementatietermijn niet in gevaar te laten komen, is er in het wetsvoorstel zeer uitdrukkelijk voor gekozen om, daar waar het mogelijk is, over te nemen hetgeen nu ook al geldt op grond van de Wbp. Voor deze zogenaamde «beleidsneutrale» implementatie is niet alleen gekozen vanwege de noodzaak om de Uitvoeringswet tijdig tot stand te brengen, maar uitdrukkelijk ook om ervoor te zorgen dat er niet (nog) meer wijzigt voor met name de verwerkingsverantwoordelijken (en in mindere mate voor verwerkers en betrokkenen) dan strikt noodzakelijk is op grond van de AVG. Zoals ook de Afdeling advisering terecht opmerkt, zal de nieuwe situatie immers al genoeg inspanning vergen voor alle bedrijven en publieke en private organisaties die gegevens verwerken. Deze benodigde inspanningen vloeien overigens niet alleen voort uit de AVG en de Uitvoeringswet, maar zijn ook te wijten aan het feit dat er ook nu niet altijd aan de geldende normen op grond van de Wbp wordt voldaan.14

I. ALGEMEEN

2. Verschuiving bevoegdheidsverdeling tussen lidstaten en EU

a. De ontwikkeling naar een Europees gegevensbeschermingsrecht

Reeds bij het begin van het wetgevingsproces in 2012 dat uiteindelijk geleid heeft tot de AVG en de Richtlijn gegevensbescherming opsporing en vervolging was te voorzien dat sprake zou zijn van een constitutioneel relevante verschuiving.15 De bescherming van persoonsgegevens werd aanvankelijk primair op nationaal niveau geregeld. Daarvoor bestaat ook een grondwettelijke basis. Sinds 1983 bevat artikel 10, tweede en derde lid, van de Grondwet een opdracht aan de formele wetgever om ter bescherming van de persoonlijke levenssfeer regels te stellen over de bescherming van persoonsgegevens. Dat hangt samen met de keuze van de Grondwet om bij de beperking en uitwerking van de daarin opgenomen grondrechten, de formele wetgever een vooraanstaande rol toe te kennen. Dat geldt ook voor het terrein van de gegevensbescherming. De Wet persoonsregistraties die daarna in 1988 tot stand is gekomen, is op deze grondwetsbepalingen gebaseerd.

In dezelfde periode is op dit terrein een proces van Europese integratie op gang gekomen. Hierdoor is de bescherming van persoonsgegevens in steeds sterkere mate een Europeesrechtelijke aangelegenheid geworden. In 1995 is – wat achteraf gezien kan worden beschouwd als een tussenstation – Richtlijn 95/46/EG vastgesteld. Deze richtlijn reguleert de bescherming van persoonsgegevens in de Europese Unie ter bevordering van de werking van de interne markt. Deze richtlijn is in Nederland geïmplementeerd in de Wbp.

De Europese integratie op dit punt is daarna geleidelijk geïntensiveerd. De nadere uitleg van Richtlijn 95/46/EG vond weliswaar vooral plaats op het niveau van de lidstaten maar werd in de loop van de tijd steeds sterker gestuurd door richtinggevende opinies van de zogeheten artikel 29-werkgroep16 en door uitspraken van het Hof van Justitie van de EU (HvJEU).17 In het Verdrag van Lissabon in 2009 werd voorts voor de bescherming van persoonsgegevens een zelfstandige algemene rechtsgrondslag (met inbegrip van een regelingsopdracht aan de Europese wetgever) opgenomen in artikel 16 VWEU. Bij hetzelfde verdrag heeft het Handvest van de grondrechten van de EU en het daarin in artikel 8 vastgelegde recht op bescherming van persoonsgegevens juridisch bindende werking gekregen. In dit artikel zijn ook de uitgangspunten waaraan bij de toepassing van dat recht moet worden voldaan, vastgelegd.18 Deze ontwikkeling laat zien dat de problematiek van de bescherming van persoonsgegevens in EU-verband inmiddels niet meer uitsluitend in het kader van de werking van de interne markt wordt geplaatst, maar ook in het bredere perspectief van de bescherming van grondrechten.

Deze ontwikkeling komt met de totstandkoming van de AVG in een nieuwe fase. Voor de thans gemaakte keuze voor een verordening in plaats van een richtlijn bestaan overtuigende argumenten. Onder Richtlijn 95/46/EG werden persoonsgegevens in de lidstaten zeer verschillend beschermd. Deze verschillen kunnen een belemmering vormen voor de uitoefening van grensoverschrijdende economische activiteiten en nadelig zijn vanuit het perspectief van eerlijke concurrentie.19 Het gevolg van die keuze is dat de nationale beleidsruimte van de lidstaten in vergelijking tot de huidige situatie verder wordt ingeperkt. De AVG is, anders dan Richtlijn 95/46/EG, rechtstreeks toepasselijk in de lidstaten. De Wbp zal hierdoor – te effectueren door het onderhavige wetsvoorstel – komen te vervallen. Slechts op een beperkt aantal, door de AVG begrensde terreinen en onder door de AVG gestelde voorwaarden mag de nationale wetgever nog regels stellen.

De ontwikkeling in de richting van verdere Europese integratie zal naar verwachting de komende jaren doorgaan. De AVG kent een gedetailleerde regeling van samenwerking van toezichthouders in het Comité voor de gegevensverwerking in het kader waarvan de in de AVG opgenomen normen verder zullen worden ingevuld en gepreciseerd. Goed denkbaar is dat de AVG in de toekomst, mede op grond van door het Comité vastgestelde pseudo-regelgeving (zie hierna punt 3), zal worden aangepast. Ook deze wijzigingen zullen in de lidstaten rechtstreeks toepasselijk zijn.

b. Algemene Verordening Gegevensbescherming: voorlopig sluitstuk?

Als gevolg van de aldus geschetste ontwikkeling is er sprake van een verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de Europese Unie; de bescherming van het grondrecht op bescherming van persoonsgegevens wordt hoofdzakelijk geregeld en bepaald op EU-niveau. De bewegingsruimte van de lidstaten is hierdoor geleidelijk beperkt. Deze beperking heeft ook constitutionele implicaties. De betekenis van de in artikel 10, tweede en derde lid, van de Grondwet voorziene rol van de nationale wetgever neemt af. De memorie van toelichting bij het wetsvoorstel wijst er terecht op dat de AVG materieel grotendeels voorziet in de regelgeving waartoe artikel 10, tweede en derde lid, van de Grondwet opdraagt. Deze regelingsopdracht aan de formele wetgever dient dan ook, aldus de toelichting, buiten toepassing te blijven, voor zover een dergelijke wet zou overlappen met de bepalingen uit de AVG die rechtstreeks gelden.20 De AVG en het daarop gebaseerde wetsvoorstel vormen daarmee het voorlopige sluitstuk van een proces van verschuiving van de bevoegdheidsverdeling tussen lidstaten en EU op het terrein van de bescherming van persoonsgegevens.

De ontwikkeling in de richting van verdere Europese integratie zal naar verwachting de komende jaren doorgaan. Een belangrijke stap in deze richting ligt besloten in de AVG zelf. De AVG kent een gedetailleerde regeling van samenwerking en coherentie van toezichthouders. Deze samenwerking houdt onder meer in dat de in de AVG opgenomen normen verder zullen worden uitgewerkt en verfijnd door pseudo-regels (in de vorm van richtsnoeren, aanbevelingen en beste praktijken) door het Europees Comité voor gegevensbescherming.21 Voorzienbaar is dat deze door de (Europese) rechter worden betrokken bij de interpretatie en toepassing van de AVG en langs deze weg de bewegingsruimte op het niveau van de lidstaten verder zullen verkleinen. De toelichting gaat hier niet op in. De toelichting vermeldt alleen dat veel van de veranderingen die voor de toezichthoudende autoriteit van het grootste belang zijn, waaronder de taken in het kader van Europese samenwerking, rechtstreeks voortvloeien uit de AVG en derhalve geen nationale rechtsbasis behoeven.22 Deze veranderingen blijven om die reden in de toelichting buiten beschouwing, aldus de regering.

De Afdeling meent evenwel dat het feit dat de bepalingen over de Europese samenwerking van de toezichthoudende autoriteiten rechtstreeks toepasselijk zijn, niet betekent dat deze in het kader van deze Uitvoeringswet niet toegelicht zouden moeten worden. Om een goed inzicht te krijgen in de nieuwe positie van de Autoriteit Persoonsgegevens (de Autoriteit), waarvan oprichting, inrichting en de wijze van uitoefening van haar taken wel in deze wet geregeld wordt, dient de toelichting uitvoeriger te zijn. Het gaat daarbij in het bijzonder om de samenwerkingsverplichtingen en het coherentiemechanisme,23 alsook de taken van het Europees Comité voor de gegevensbescherming, waarin de verschillende autoriteiten, dus ook de Autoriteit, vertegenwoordigd zijn. Een nadere toelichting vanuit een breder constitutioneel perspectief is te meer van belang omdat de interpretatie en toepassing van de AVG door het Comité de bewegingsruimte op het niveau van de lidstaten verder zullen verkleinen.

De Afdeling adviseert in de toelichting nader in te gaan op de voorziene werking van de in de AVG vastgelegde systematiek van samenwerking en coherentie en de mogelijke gevolgen daarvan voor de rechtsontwikkeling en voor de bevoegdheidsverdeling tussen de Europese Unie en de lidstaten.

c. De afwegingsruimte van de nationale wetgever

Het gevolg van bovenstaande ontwikkeling is zoals opgemerkt dat onder de AVG de rol van de nationale wetgever beperkter wordt. Die rol is echter niet volledig uitgespeeld. De AVG heeft op bepaalde onderdelen een richtlijn-achtig karakter. Dit uit zich in de toekenning van de bevoegdheid in een aantal bepalingen van de AVG om op het niveau van de lidstaten nadere regels te stellen. In de Uitvoeringswet wordt in bepaalde gevallen van deze mogelijkheid gebruik gemaakt en invulling gegeven aan deze bevoegdheid. In andere gevallen waarin de AVG deze mogelijkheid biedt, is dat niet het geval. Zo is bijvoorbeeld geen gebruik gemaakt van de mogelijkheid om nadere regels vast te stellen over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding.24 Ook is geen of althans niet uitdrukkelijk invulling gegeven aan de ruimte om – als uitzondering op het wettelijk verbod – bijzondere persoonsgegevens te verwerken in verband met het algemeen belang op het gebied van de volksgezondheid.25

De daaraan ten grondslag liggende keuze wordt alleen in algemene zin toegelicht met het uitgangspunt van de beleidsneutrale implementatie. De memorie van toelichting zegt daarover het volgende:

«Conform het algemene uitgangspunt bij implementatie van Europese regelgeving is gestreefd naar een beleidsneutrale invulling van de ruimte die de verordening biedt. Dat wil zeggen dat bij de invulling van de ruimte die de verordening laat voor nationaal recht steeds is bezien of en in hoeverre het bestaande nationale recht en de bestaande nationale beleidskeuzes gehandhaafd kunnen worden onder de verordening. Waar dat niet, of niet geheel mogelijk is, is er steeds voor gekozen om zo dicht mogelijk te blijven bij het bestaande nationale recht.»26

Een beleidsneutrale invulling is op zichzelf een legitieme keuze binnen de ruimte die de AVG aan de lidstaten biedt. Vanuit het oogpunt van een tijdige uitvoering van de AVG is de keuze voor beleidsneutrale implementatie ook begrijpelijk. Tegelijkertijd ontbreekt hierdoor een helder inzicht in mogelijke inhoudelijke redenen om wel of niet van de geboden mogelijkheden gebruik te maken. Tegen die achtergrond merkt de Afdeling op dat een inhoudelijke afweging per afzonderlijke bevoegdheid van de nationale wetgever een belangrijke toegevoegde waarde zou hebben. Een dergelijke afweging gaat verder dan een verwijzing naar het beleidsneutrale karakter van de Uitvoeringswet.27

De Afdeling meent dat met betrekking tot alle bepalingen van de AVG die ruimte bieden aan de nationale wetgever alsnog een inhoudelijke afweging als hiervoor bedoeld zou moeten plaatsvinden. Deze afweging ontbreekt op dit moment in de toelichting. Een inhoudelijke argumentatie is met name ook van belang in de gevallen waarin van de door de AVG geboden ruimte geen gebruik wordt gemaakt. Dit geldt bijvoorbeeld ten aanzien van de door de AVG toegekende bevoegdheden aan de lidstaten om over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding en de verwerking van bijzondere persoonsgegevens in verband met het algemeen belang op het gebied van de volksgezondheid, nadere regels te stellen. Zij adviseert met het oog daarop de toelichting aan te vullen en het wetsvoorstel zo nodig aan te passen. Indien de tijdige uitvoering van de AVG daaraan in de weg staat, adviseert zij in de toelichting aan te geven op welke wijze zo snel mogelijk na de inwerkingtreding van de AVG en de Uitvoeringswet alsnog hieraan uitvoering wordt gegeven.

d. Uitleg van de AVG tijdens het wetgevingsproces

Bij de voorbereiding van het wetsvoorstel is de vraag gerezen hoeveel ruimte de regering heeft om de rechtstreeks toepasselijke bepalingen van de AVG toe te lichten. In de toelichting heeft de regering aangegeven dat het niet aan haar is om de in de consultatiereacties gevraagde nadere duiding van de in de AVG opgenomen normen te geven, maar dat de Autoriteit als toezichthouder hier meer helderheid over kan verschaffen.28 Daarmee volgt zij het standpunt zoals door de Autoriteit ingenomen in haar consultatiereactie. Het gevolg hiervan is dat de toelichting in het algemeen slechts een beperkte weergave bevat van de in de AVG opgenomen bepalingen.

De Afdeling onderschrijft het uitgangspunt dat nu het om een verordening gaat, de regering niet een eindoordeel kan geven over de interpretatie daarvan. Dat is uiteindelijk aan de (Europese) rechter. Zij meent echter dat dit niet kan afdoen aan de behoefte aan nadere toelichting met het oog op de uitvoering van de verordening. De regering heeft namens Nederland de onderhandelingen over de AVG gevoerd en is daardoor in eerste instantie degene die, in aanvulling op de vaak summiere overwegingen van de AVG, informatie kan geven over de wijze waarop en de redenen waarom de bepalingen van de AVG in hun huidige vorm tot stand zijn gekomen. Belangrijke bronnen daarbij zijn de kwartaaloverzichten die de Staatssecretaris aan de Tweede Kamer heeft gezonden over de stand van zaken over de onderhandelingen in Brussel over de AVG29 en de verslagen van de Commission Expert group on the Regulation van de besprekingen waaraan de regering heeft deelgenomen.30 Op deze wijze kan de inhoud van de bepalingen en hun onderlinge samenhang beter worden begrepen. Vanwege de complexiteit van de AVG bestaat daaraan een grote maatschappelijke behoefte, zo blijkt ook uit de vele vragen daaromtrent in de consultatiereacties.

Daarnaast is van belang dat het parlement, ook al gaat het om een uitvoeringswet, zijn medewetgevende taak op een juiste wijze kan uitoefenen. Een duidelijke toelichting tijdens de parlementaire behandeling waarbij objectief en met bronvermelding wordt weergegeven wat met de diverse bepalingen blijkens hun totstandkoming door de Uniewetgever bedoeld is, kan bijdragen aan het noodzakelijke maatschappelijke en politieke draagvlak voor de AVG. Een dergelijke toelichting is ook van belang voor de beoordeling door de wetgever of (toekomstige) bepalingen over de verwerking van persoonsgegevens in sectorale wetgeving binnen de kaders van de AVG blijven. Dat het eindoordeel over de toekomstige interpretatie uiteindelijk grotendeels bij anderen ligt, doet daaraan niet af.

De Afdeling adviseert de toelichting in het licht van het bovenstaande aan te passen.

2. Verschuiving bevoegdheidsverdeling tussen lidstaten en EU

a. De ontwikkeling naar een Europees gegevensbeschermingsrecht

De Afdeling advisering is met ons van mening dat er overtuigende argumenten bestaan voor de keuze om de bescherming van persoonsgegevens niet langer op het niveau van een richtlijn te borgen, maar in een verordening, teneinde verdere harmonisatie te bewerkstelligen. Zoals de vice-president van de Raad van State, mr. J.P.H. Donner, het op 26 november 2015 in zijn Cleveringa-oratie over Europese samenwerking, verwoordde: «Essentie is dat de Unie en de lidstaten niet als onderscheiden entiteiten gezien moeten worden maar als één gemengde, coöperatieve orde waarbinnen zij elkaar aanvullen en versterken zodat het totaal meer is dan de som der delen.»31 Dit geldt in hoge mate voor het gegevensbeschermingsrecht dat naar zijn aard nu al zeer internationaal georiënteerd is, en dit zal naar verwachting, gezien de technologische ontwikkelingen, eerder meer dan minder worden.

Onmiskenbaar is inderdaad dat tegelijkertijd de nationale beleidsruimte verder wordt ingeperkt. Juist omdat deze verordening ook trekken vertoont van een richtlijn, is er in materieel opzicht eerder sprake van een graduele verschuiving dan van een grote, principiële, constitutioneel relevante, verandering.

Verder onderschrijven wij de constatering dat de nadere invulling en precisering van de normen uit de rechtstreeks werkende AVG straks deels in handen zal zijn van het Europees Comité voor gegevensverwerking (Comité). In dit Comité dienen alle onafhankelijke toezichthoudende autoriteiten samen te werken en elkaar bijstand te verlenen bij de uitvoering van hun taken met het oog op de consequente toepassing en eenvormige handhaving van de AVG. De wijze waarop deze onderlinge samenwerking is georganiseerd, is vastgelegd in hoofdstuk VII van de AVG. Paragraaf 3 van het onderhavig nader rapport, alsmede paragraaf 3.2 van de memorie van toelichting, gaat op dit onderwerp nog verder in.

Tot slot hechten we eraan om aan te stippen dat de bevoegdheidsverschuiving van nationaal naar Europees niveau in beginsel voor alle terreinen geldt waar wetgeving op Europees niveau aan de orde is, zoals ook de Afdeling advisering overigens in haar advies opmerkt.

b. Algemene Verordening Gegevensbescherming: voorlopig sluitstuk?

De Afdeling advisering constateert dat de interpretatie en toepassing van de AVG door het Comité de bewegingsruimte op het niveau van de lidstaten verder zullen verkleinen. Zij acht daarbij van belang dat inzichtelijk dient te zijn hoe in het bijzonder de samenwerkingsverplichtingen en het coherentiemechanisme, alsook de taken van het Comité, waarin de verschillende autoriteiten, dus ook de Autoriteit, vertegenwoordigd zijn, zich verhouden. Wij onderschrijven in algemene zin wat de Afdeling advisering constateert over deze veranderingen die de AVG in breder constitutioneel perspectief brengt. Er is sprake van een verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de Europese Unie met betrekking tot de bescherming van het grondrecht op de bescherming van persoonsgegevens. Dat is inherent aan de keuze voor een verordening. Hierdoor is de rol van de nationale wetgever, onder meer voor de betekenis van artikel 10, tweede en derde lid, Grondwet afgenomen. De Afdeling adviseert ter zake in de toelichting een constitutionele beschouwing op te nemen. We hebben dat advies overgenomen door in een nieuwe paragraaf 1.3 van de memorie van toelichting aan te geven welke rol de Grondwet op dit punt nog wel vervult en welke ruimte de nationale wetgever – ook binnen het bereik van de AVG – heeft om regels te stellen. Naar aanleiding van het advies van de Afdeling advisering op dit punt is verder in de memorie van toelichting een paragraaf opgenomen waarin wordt ingegaan op hetgeen is geregeld in hoofdstuk VII van de AVG. Paragraaf 3.1 behandelt in grote lijnen de systematiek waarvoor is gekozen in de AVG en paragraaf 3.2 de wijze waarop het Comité in de praktijk zal functioneren en de verplichtingen van de verschillende nationale toezichthoudende autoriteiten in het kader van het verlenen van bijstand over en weer, hun onderlinge samenwerking en het coherentiemechanisme.

De Afdeling advisering spreekt de verwachting uit dat de bewegingsruimte op het niveau van de lidstaten verder beperkt zal worden doordat het Comité op grond van artikel 70 AVG de normen van de verordening nader zal uitwerken en verfijnen in de vorm van onder meer richtsnoeren en aanbevelingen. Dat geldt in de eerste plaats voor de nationale rechter die ingevolge artikel 78 AVG als eerste moet worden geadresseerd. Naar onze mening is hier in zekere zin sprake van een voortzetting van het functioneren van de huidige Artikel 29-werkgroep, die gezaghebbende opinies uitbrengt over velerlei onderwerpen.32 Deze opinies betrekt de (Europese) rechter ook nu al bij hem voorgelegde geschillen en die dragen zo bij aan de rechtsontwikkeling op het gebied van gegevensbescherming. Met de rechterlijke functie zal nog altijd een belangrijk deel van invulling van de AVG dus mede door de Nederlandse rechter kunnen plaatsvinden, ook door middel van de prejudiciële procedure. De verdere formalisering van deze taken in hoofdstuk VII van de AVG en de oprichting van het Comité zal wel tot een intensivering leiden van deze huidige praktijk, hetgeen gevolgen heeft voor de bevoegdheidsverdeling tussen de Europese Unie en de lidstaten. In het licht hiervan, alsmede tegen de achtergrond dat er op Europees niveau steeds vaker sprake is van concretisering van normen van constitutioneel recht, acht de Minister van Binnenlandse Zaken en Koninkrijksrelaties het raadzaam, nader onderzoek te verrichten naar de betekenis van deze algemene ontwikkeling voor de nationale rechtsorde. Nu deze ontwikkelingen van een bredere aard zijn dan het kader van de AVG en de tijdige inwerkingtreding van de Uitvoeringswet van groot belang is, moge duidelijk zijn dat wij dit beschouwen als een zelfstandig vraagstuk, waaraan los van de uitvoering van de AVG aandacht zal worden besteed.

c. De afwegingsruimte van de nationale wetgever

De Afdeling advisering merkt op dat in met name de gevallen waarin van de door de AVG geboden ruimte geen gebruik wordt gemaakt, alsnog een inhoudelijke afweging zou moeten plaatsvinden. De Afdeling advisering wijst daarbij op de verwerking van persoonsgegevens in het kader van de arbeidsverhouding en de verwerking van bijzondere persoonsgegevens in verband met het algemeen belang op het gebied van de volksgezondheid. Hoewel de Afdeling advisering een beleidsneutrale invulling op zichzelf een legitieme en begrijpelijke keuze vindt, merkt zij desalniettemin op dat een inhoudelijke afweging per afzonderlijke bevoegdheid van de nationale wetgever, en dan met name daar waar deze laatste er juist geen gebruik van heeft gemaakt, een belangrijke toegevoegde waarde zou hebben.

Zoals gezegd, is in de Uitvoeringswet gekozen om de ruimte die de AVG op verschillende punten biedt beleidsneutraal in te vullen. Daarmee wordt bedoeld dat daar waar er ruimte is voor een nationale afweging, de huidige kaders van de Wbp zoveel mogelijk integraal worden overgenomen. Deze keuze is ontegenzeggelijk mede ingegeven door het feit dat er maar een beperkte tijd beschikbaar was om de complexe materie te implementeren,33 maar dat is zeker niet de enige overweging geweest. Wij hechten eraan om te benadrukken dat deze keuze ook een inhoudelijke onderbouwing kent; voor met name de verwerkingsverantwoordelijken verandert er met de inwerkingtreding van de AVG al het nodige (zie ook paragraaf 4a). Beleidsmatig is er dan ook expliciet gekozen voor een zo naadloos mogelijke overgang zodat de verwerkingsverantwoordelijken in de hun ter beschikking staande beperkte tijd niet meer voor de kiezen krijgen dan strikt noodzakelijk op grond van de AVG. Zodoende vloeien uit de nationale implementatie, de Uitvoeringswet zelf, ook nagenoeg geen uitvoeringslasten voort.

Desalniettemin wordt in het navolgende kort ingegaan op de keuze om (voorlopig althans) geen gebruik te maken van de ruimte die de AVG biedt om nadere regels te stellen in het kader van de arbeidsverhouding noch van de ruimte om bijzondere persoonsgegevens te verwerken in verband met het algemeen volksgezondheidsbelang. Ook in de memorie van toelichting is hierover een korte passage opgenomen.

Het advies om alle inhoudelijke afwegingen uit te schrijven die ten grondslag hebben gelegen aan het al dan niet invullen van ruimte die de AVG aan de nationale wetgever laat, is echter niet overgenomen. Het is niet mogelijk om een dergelijke complete inventarisatie te doen, alleen al omdat de toekomstige ontwikkelingen nu niet te overzien zijn. Weliswaar zijn er ook onderwerpen in de huídige Wbp die voor verbetering vatbaar zijn, maar eventuele aanpassing daarvan zal in de toekomst een nieuwe afweging vergen waarvoor wij omwille van de zorgvuldigheid de tijd willen kunnen nemen. Het is niet opportuun om daarop nu vooruit te lopen door in onderhavig wetstraject uitspraken te doen over de wenselijkheid om al dan niet in de toekomst gebruik te gaan maken van de ruimte voor nationaal recht. Vooralsnog volstaat, net als nu, in ieder geval hetgeen de Wbp regelt.

Gegevensverwerking in het kader van de arbeidsverhouding

Artikel 88 AVG biedt aan lidstaten de ruimte om nadere regels vast te stellen die betrekking hebben op de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding. Er wordt daarbij een onderscheid gemaakt tussen de verwerking van persoonsgegevens met het oog op aanwerving, de uitvoering van de arbeidsovereenkomst, en de beëindiging van de arbeidsverhouding. Er is vooralsnog geen aanleiding gevonden om de bestaande kaders nader in te vullen.34 De algemene regels uit de AVG zijn goed toe te passen in het arbeidsrecht, en bieden ook in het kader van de arbeidsverhouding voldoende bescherming aan de werknemers, alsmede duidelijkheid over de voorwaarden en omstandigheden waaronder gegevensverwerking toegestaan is.35 Gebleken is dat de bestaande beginselen, zoals die onder meer zijn neergelegd in artikel 8 EVRM, ter invulling van de door het privaatrecht gereguleerde relatie tussen de werkgever en de werknemer, waaronder de normen van goed werkgeverschap en goed werknemerschap uit artikel 611 van Boek 7 van het Burgerlijk Wetboek, voldoende aanknopingspunten bieden. Deze abstracte normstelling is van belang omdat de relatie tussen werkgever en werknemer een open karakter heeft, en bovendien toekomstbestendig dient te zijn omdat technologische ontwikkelingen op de werkvloer die van invloed zijn op de privacy van werknemers ook onder de algemene normen vallen. Er is nu geen behoefte te komen tot sectorale wetgeving die op grond van artikel 88 AVG gemeld zou moeten worden. Paragraaf 7.2.12 van de memorie van toelichting is aangevuld met deze afweging.

De verwerking van bijzondere persoonsgegevens in verband met het algemeen belang op het gebied van de volksgezondheid

d. Uitleg van de AVG tijdens het wetgevingsproces

De Afdeling advisering constateert terecht dat de regering in de memorie van toelichting bij de Uitvoeringswet geen uitsluitsel kan geven over de juiste interpretatie van begrippen van de AVG, maar dat dit de behoefte aan nadere toelichting met het oog op de uitvoering van de AVG niet wegneemt. De invulling van de deels open normen uit de AVG en de vertaling naar de praktijk van alledag, zal in eerste instantie liggen bij de toezichthoudende autoriteiten verenigd in het Comité, zoals in het voorgaande al aan bod kwam, maar zal uiteindelijk aan de (Europese) rechter zijn. De memorie van toelichting besteedt wel aandacht aan hetgeen in de AVG is bepaald maar beperkt zich op dat punt tot de hoofdlijnen en tot die onderwerpen waar de AVG ruimte laat voor het nationale recht om nadere invulling te geven aan de normen. Vanzelfsprekend dienen nationale keuzes navolgbaar en controleerbaar te zijn en derhalve te zijn voorzien van een uitgebreide en dragende toelichting, opdat de beide Kamers van de Staten-Generaal hun medewetgevende taak naar behoren kunnen uitoefenen. Ook is een goede toelichting op de door de nationale wetgever gemaakte keuzes in de Uitvoeringswet van belang voor de rechter die, op de punten waar de AVG ruimte laat, mede zal kijken naar de wetgeschiedenis in het kader van de rechtsvinding. Dat een dergelijke toelichting soms noopt tot het doen van uitspraken over of het geven van een uitleg aan normen uit de AVG is onontkoombaar. Er is hier geen sprake van een strikte waterscheiding, maar wij hebben ernaar gestreefd om dit alleen te doen daar waar dit omwille van de begrijpelijkheid van de memorie van toelichting noodzakelijk leek.

Op die onderdelen waar de AVG echter een «echte» verordening is en geen ruimte laat aan de lidstaten, waardoor de bepalingen dus vanaf 25 mei 2018 rechtstreeks van toepassing zijn in Nederland, is ervoor gekozen om alleen de hoofdlijnen te schetsen in de toelichting. Hierbij is relevant om te realiseren dat een verordening die geen, of nauwelijks, implementatiewetgeving nodig heeft (een «gemiddelde» verordening) nooit een toelichting krijgt zoals wij dat bij onze nationale wetgeving gewend zijn. De gebruikers dienen een dergelijke verordening zelfstandig toe te passen waarbij de overwegingen, die aan de artikelen van de AVG vooraf gaan, de enige officiële bron voor nadere duiding vormen. Iets anders is ook moeilijk denkbaar. Het zou immers de uniformeringsgedachte, die achter het «opschalen» van de richtlijn naar het niveau van een verordening zit, grotendeels weer teniet doen als alle lidstaten ook de verplichtingen die rechtstreeks voortvloeien uit de AVG ieder voor zich nader zouden duiden in een gezaghebbend document als een memorie van toelichting. Eventuele nationale interpretaties zullen dan onvermijdelijk uiteen lopen.

Het feit dat de regering namens Nederland de onderhandelingen heeft gevoerd over de uiteindelijke tekst van de AVG, doet niet af aan het voorgaande. Over de overwegingen die hebben gespeeld tijdens deze onderhandelingen en het verloop van deze onderhandelingen is uitvoerig verslag gedaan in de kwartaalrapportages aan de Tweede Kamer.36 Bij het lezen van deze rapportages moet echter voor ogen gehouden worden dat deze rapportages telkens betrekking hebben op de toenmalige stand van zaken die onder invloed van de voortgang van de onderhandelingen voortdurend aan wijzigingen onderhevig was, en in het bijzonder ingaan op het standpunt dat Nederland bij de onderhandelingen innam. Er kunnen met andere woorden aan deze rapportages – hoe belanghebbend ook vanuit meer geschiedkundig perspectief – geen gezaghebbende interpretaties worden ontleend.37

Dat er niettemin een grote behoefte aan duiding en uitleg bestaat met het oog op de uitvoering van de verordening in de praktijk, juist ook van de direct werkende normen uit de AVG, is begrijpelijk. De keuze voor het beleidsneutraal implementeren daar waar de AVG nationale keuzeruimte laat, maakt dat de meeste vragen en onzekerheid op dit moment bestaan over de wijzigingen die op grond van de AVG zelf van kracht worden. Vanuit pragmatisch perspectief is, naar onze mening, een dynamischer document als een (digitale) handreiking bijvoorbeeld aanzienlijk geschikter om te voorzien in deze behoefte. Een dergelijk document is veel gebruiksvriendelijker omdat dit periodiek geactualiseerd kan worden zodat telkens de laatste stand van zaken, wat de jurisprudentie en de reeds eerder gememoreerde «soft law» betreft, meegenomen is in de informatievoorziening. Over hetgeen wij, deels in samenwerking met de Autoriteit persoonsgegevens, ondernemen om in deze grote maatschappelijke behoefte te voorzien, zij verwezen naar paragraaf 4a van dit nader rapport en paragraaf 6.3 van de memorie van toelichting.

3. Onafhankelijk toezicht: raadpleging en verantwoording

a. Gelaagde structuur

De AVG voorziet in een gelaagde toezichtsstructuur. Enerzijds regelt de AVG de instelling, de samenstelling en de taken en bevoegdheden van de nationale toezichthouders. Anderzijds voorziet zij in gedetailleerde bepalingen die de taken en bevoegdheden van het Europees Comité voor gegevensverwerking regelen. Het Comité bestaat uit de voorzitters van de nationale toezichthouders en de Europese Toezichthouder voor gegevensbescherming.38 Zowel de nationale toezichthouders39 als het Comité zijn bij de uitoefening van hun taken en bevoegdheden op grond van de AVG onafhankelijk. Voor zover het gaat om de nationale toezichthouders sluit de AVG hier aan bij de rechtspraak van het HvJEU40 en bij artikel 16, tweede lid, VWEU en artikel 8, derde lid, van het Handvest.

Op beide niveaus geldt dat de taken en bevoegdheden van de toezichthouders ruim zijn. Op grond van 70 AVG kan het Comité met betrekking tot de toepassing van de AVG richtsnoeren, aanbevelingen en beste praktijken vaststellen. Deze activiteiten leiden in de regel41 weliswaar niet of althans niet direct tot juridisch bindende besluiten maar aannemelijk is dat zij – voortbouwend op de opinies van de huidige artikel 29 Werkgroep – in de rechtsontwikkeling van het gegevensbeschermingsrecht een belangrijke rol zullen gaan spelen. De taken en bevoegdheden van de nationale toezichthouders zoals neergelegd in artikel 57 en 58 AVG zijn eveneens ruim en zeer uiteenlopend. Zij omvatten onder meer voorlichting, behandeling van klachten, onderzoek naar de toepassing van de AVG, de goedkeuring van diverse besluiten, voorschriften en standaardbepalingen, wetgevingsadvisering en handhaving. Met name als het gaat om de handhaving wordt de positie van de toezichthouder (in Nederland de Autoriteit) versterkt.42

Gegeven de onafhankelijkheid van de toezichthouders op beide niveaus in samenhang met hun verstrekkende taken en bevoegdheden, dient naar het oordeel van de Afdeling duidelijkheid te bestaan over de openbaarheid van hun werkwijze, over de wijze waarop de toezichthouders belanghebbenden bij hun besluiten en bij andere handelingen die zij verrichten, betrekken en hoe zij verantwoording afleggen over de uitoefening van hun taken en bevoegdheden.43 De AVG is op dit punt summier. Ook de toelichting bij het wetsvoorstel gaat er niet op in.

Tegen deze achtergrond maakt de Afdeling de volgende opmerkingen.

b. Pseudo-regelgeving Europees Comité voor gegevensverwerking

De taken en bevoegdheden van het Comité hebben een aanzienlijk ruimer bereik dan toezicht op de naleving van de AVG in strikte zin. Zoals gezegd dient het Comité door middel van richtsnoeren, aanbevelingen en beste praktijken de algemene regels en beginselen van de AVG nader uit te werken. Weliswaar wordt in artikel 70, eerste lid, AVG deze taak van het Comité op een aantal punten gespecificeerd maar in wezen bestrijkt deze de gehele AVG. In het bijzonder is van belang dat het Comité op grond van artikel 70, eerste lid, onder e, bevoegd is om, ook op eigen initiatief, onderzoek te doen naar de toepassing van de verordening en in dat kader mag overgaan tot het «uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken om te bevorderen dat deze verordening consequent wordt toegepast.

De Afdeling merkt op dat deze taak nagenoeg onbegrensd is. Feitelijk komt het er op neer dat in het geval er, blijkend uit de praktijk in de lidstaten, onduidelijkheid bestaat over hoe een bepaald voorschrift uit de AVG moet worden uitgelegd, het Comité in eerste instantie mag bepalen wat de juiste interpretatie is. Omdat de AVG op veel punten open normen bevat, betreft het een ruime bevoegdheid bij de uitoefening waarvan Comité over een ruime beoordelingsvrijheid beschikt. Het gaat om beoordelingen met een algemeen karakter die, hoewel juridisch niet bindend, feitelijk neerkomen op pseudo-regelgeving («soft law»). Aangenomen moet worden dat deze pseudo-regels in de praktijk een belangrijke richtsnoer zullen vormen voor het handelen van wetgevers, rechters, bestuursorganen, bedrijven en burgers in de lidstaten.

De Afdeling merkt op dat deze «soft law» zich aan de invloedssfeer van de lidstaten onttrekt. Deze komt immers tot stand in een Europees orgaan (het Comité) bestaande uit onafhankelijke toezichthouders die hierover geen verantwoording schuldig zijn aan de regeringen en parlementen van de lidstaten. Omdat ook het Comité als zodanig bij de uitoefening van zijn taken en bevoegdheden onafhankelijk is, lijken ook op EU-niveau de «checks and balances» slechts beperkt aanwezig. De AVG treft enkele summiere voorzieningen; het Comité raadpleegt «waar passend» de belanghebbende partijen en geeft hun de gelegenheid om binnen een redelijk tijdsbestek commentaar te leveren.44 Daarnaast bepaalt artikel 71 AVG dat het Comité een jaarverslag op moet stellen en toezenden aan het Europees Parlement, de Raad en de Commissie, dat een evaluatie van de praktische toepassing van de richtsnoeren, aanbevelingen en beste praktijken moet omvatten.45 Niet duidelijk is of het Comité, gelet op zijn onafhankelijke positie, verantwoording zal afleggen aan een van de genoemde instituties over wat in het jaarverslag aan de orde komt en zo ja, op welke wijze die verantwoording zal plaatsvinden.

De Afdeling is van oordeel dat, gelet op het te verwachten belang van de door het Comité vast te stellen pseudo-regels voor de Nederlandse wetgeving, rechtspraak en uitvoeringspraktijk, inzichtelijker moet worden op welke wijze de raadpleging en verantwoording door het Comité zal plaatsvinden. Zij adviseert in de toelichting in het licht van het vorenstaande hierop in te gaan en daarbij tevens duidelijk te maken of de «checks and balances» zoals voorzien in de AVG als toereikend worden beoordeeld.

c. Voorbereiding van goedkeuringsbesluiten door de Autoriteit

Zoals hiervoor aangeduid heeft de nationale toezichthouder, in Nederland de Autoriteit, binnen het kader van de AVG en van de door het Comité te ontwikkelen standaarden, ruime en uiteenlopende bevoegdheden. Net als voor het Comité geldt voor de Autoriteit dat haar taken en bevoegdheden meer omvatten dan het toezicht op de naleving van de AVG in strikte zin. Blijkens de artikelen 57 en 58 AVG gaat het ook om de goedkeuring van onder meer gedragscodes en bedrijfsvoorschriften.

Een belangrijke waarborg die van toepassing is op bepaalde bindende beslissingen van de toezichthouder is dat daartegen beroep openstaat bij de rechter. Dit wordt ook door de AVG voorgeschreven.46 Naast rechterlijke controle is evenwel ook een goede voorbereiding van besluiten van belang. Goedkeuringsbevoegdheden die op grond van de AVG aan de Autoriteit zijn toegekend kunnen betrekking hebben op regelingen met een algemeen karakter die met het oog op het relatief groot aantal belanghebbenden zorgvuldig moeten worden voorbereid.

De Afdeling ondersteunt dan ook het verzoek van de Autoriteit in haar advies om te bepalen dat de uniforme openbare voorbereidingsprocedure als bedoeld in Afdeling 3.4 Awb van toepassing is op de voorbereiding van een beslissing op een verzoek om een ontwerpgedragscode goed te keuren. Thans is dit geregeld in artikel 25, vierde lid, van de Wbp. De regering heeft in reactie op het advies van de Autoriteit aangegeven het opnemen van deze procedure niet in overeenstemming met artikel 40 AVG te vinden, omdat dit onnodige procedurele belemmeringen zou kunnen opwerpen die het opstellen van gedragscodes niet bevorderen.47 De Afdeling merkt echter op dat artikel 40 AVG niet voorschrijft de wijze waarop goedkeuring op nationaal niveau plaats moet vinden. Er wordt slechts een procedure voorgeschreven wanneer het Comité moet worden betrokken, namelijk als het gaat om een gedragscode die betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten. Wat betreft de overweging van de regering dat dit onnodige procedurele belemmeringen zou kunnen opleveren, acht de Afdeling dit standpunt niet overtuigend gemotiveerd in het licht van het belang van een zorgvuldige voorbereiding van dergelijke besluiten met een brede werking. Artikel 40 AVG sluit de toepassing van daarop betrekking hebbende zorgvuldigheidseisen niet uit. Ook bij de andere goedkeuringsbesluiten die de Autoriteit op grond van de AVG neemt, dient te worden nagegaan of Afdeling 3.4 Awb van toepassing moet worden verklaard. De Afdeling adviseert in het licht van het bovenstaande de toelichting aan te vullen en zo nodig het voorstel aan te passen.

3. Onafhankelijk toezicht: raadpleging en verantwoording

a. Gelaagde structuur

De taken en bevoegdheden van zowel de verschillende nationale toezichthoudende autoriteiten als van het Comité zijn divers en worden in de AVG aanzienlijk uitgebreid. De uitoefening van een deel van deze taken en bevoegdheden zal van invloed zijn op de rechtsontwikkeling in het gegevensbeschermingsrecht. Deze constatering maakt dat de Afdeling advisering van oordeel is dat er duidelijkheid dient te bestaan over de openbaarheid van hun werkwijze en over de wijze waarop zij, bijvoorbeeld, belanghebbenden betrekken bij de besluitvorming. De memorie van toelichting zou, wat de Afdeling advisering betreft, ook aan de wijze waarop zij verantwoording afleggen en aan wie, aandacht moeten besteden.

De memorie van toelichting is aangevuld met een paragraaf waarin aandacht wordt besteed aan de taken van het Comité en de verhouding tussen de verschillende lidstatelijke toezichthouders (paragraaf 3.2).

b. Pseudo-regelgeving Europees Comité voor gegevensverwerking

Met de Afdeling advisering onderkennen we dat de bevoegdheid voor het Comité om richtsnoeren uit te brengen ter nadere invulling van de deels open normen uit de AVG zeer ruim is. Dergelijke aanbevelingen zullen evident relevantie hebben voor de rechtspraktijk. Ook rechters, die uiteindelijk het laatste woord zullen hebben over de juiste interpretatie van voornoemde normen, zullen zich laten leiden door de «soft law» die het Comité tot stand zal brengen. Wel moeten we constateren dat dit op dit moment met de opinies en standpunten die de Artikel 29-werkgroep naar buiten brengt, niet principieel anders is.

Meer in het algemeen willen wij benadrukken dat de totstandkoming van de AVG een uitvoerig en democratisch gelegitimeerd wetgevingstraject is geweest. De uitkomst van dat wetgevingstraject, de AVG, is daarmee voor de nationale wetgever een gegeven. In beperkte mate laat de AVG ruimte aan de nationale wetgever om nadere regels te stellen. Waar het gaat om de invulling van open normen uit de AVG zijn de betrokken toezichthouders en het Comité aan zet, bijvoorbeeld door het opstellen van beleidsregels en de toepassing van de invulling van die normen in individuele casusposities. De nationale rechter en uiteindelijk het Hof van Justitie van de EU (naar aanleiding van prejudiciële vragen dan wel rechtstreeks als gevolg van een beroep van het gerecht van eerste aanleg inzake de uitkomst van de geschilbeslechtingsprocedure bij het Comité) oordelen of de uitleg en toepassing van de norm juist zijn.

Vanzelfsprekend is het van groot belang dat de toezichthoudende autoriteiten in iedere lidstaat de dialoog met de samenleving onderhouden en waar nodig verder intensiveren en dat geldt vanzelfsprekend evenzeer daar waar deze toezichthouders in gezamenlijkheid optreden verenigd in het Comité. Voor de nationale toezichthouders zijn in artikel 57 AVG expliciet taken opgenomen die betrekking hebben op voorlichting over de normen in de AVG aan het brede publiek (eerste lid, onderdeel b) en aan verwerkingsverantwoordelijken (eerste lid, onderdeel d). In deze voorlichting kan nadrukkelijk gebruik worden gemaakt van de werkzaamheden die het Comité verricht, zeker waar het gaat om een nadere invulling van de normen. Dat gebeurt ook in de huidige praktijk al. De Artikel 29-werkgroep heeft reeds enkele richtsnoeren uitgevaardigd over de uitleg van normen in de AVG, die mede door de Autoriteit persoonsgegevens onder de aandacht zijn gebracht bij het Nederlandse publiek, en hierover een open consultatie gevoerd.48 Het is mogelijk als direct belanghebbende om te reageren, maar ook nationale regeringen of parlementen worden op deze manier in de gelegenheid gesteld hun visie kenbaar te maken over deze nadere invulling van rechtsnormen. Verder vermeldt de Artikel 29-werkgroep op haar website dat zij alle correspondentie die zij ontvangt, alsmede haar reactie daarop volgens vast beleid publiceert.49

Voor wat betreft de werkzaamheden van het Comité bepaalt artikel 70, derde lid, AVG dat het adviezen, richtsnoeren, aanbevelingen en beste praktijken aan de Commissie en aan het in artikel 93 bedoelde comité zendt en deze ook bekend maakt. Ook is het Comité op basis van het vierde lid verplicht om waar passend de belanghebbenden te raadplegen en hun de gelegenheid te bieden om binnen een redelijk tijdsbestek commentaar te leveren. De resultaten van deze raadpleging dienen ingevolge ditzelfde lid (onverminderd het bepaalde in artikel 76 over vertrouwelijkheid en de toegang tot documenten zoals geregeld in verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43)), door het Comité openbaar te worden gemaakt.

Het Comité is op grond van artikel 72, tweede lid, AVG verplicht om een reglement van orde op te stellen en daarin zullen naar verwachting ook de boven genoemde bepalingen worden opgenomen die zien op de wijze waarop zij gestalte geven aan de procedurele verplichtingen uit de AVG. Aangezien dit reglement van orde ook openbaar zal zijn, zal daarmee de werkwijze van het Comité transparant gemaakt worden.

In artikel 71 is vervolgens expliciet opgenomen dat het Comité een jaarverslag dient op te stellen waarbij ook een evaluatie wordt opgenomen over de praktische toepassing van richtsnoeren, aanbevelingen en beste praktijken bedoeld in artikel 70, eerste lid, onderdeel l. Dit jaarverslag wordt openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie. Tevens is in artikel 97, tweede lid, onderdeel b, AVG, specifiek opgenomen dat de door de Europese Commissie uit te voeren evaluatie ook zal zien op de wijze waarop het hoofdstuk over samenwerking en coherentie in de praktijk functioneert. Dit is mede op aandringen van Nederland opgenomen. In artikel 97 bepaalt het vijfde lid dat de Commissie indien nodig passende voorstellen kan doen tot wijziging van de verordening. Tot slot wijzen wij erop dat naast de verplichting van het Comité om een jaarverslag uit te brengen, ook de Autoriteit persoonsgegevens op grond van de Kaderwet zelfstandige bestuursorganen een jaarverslag dient uit te brengen. Al met al beoordelen wij de «checks en balances» waar de AVG in voorziet, als toereikend.

c. Voorbereiding van goedkeuringsbesluiten door de Autoriteit

Het advies van de Afdeling advisering is overgenomen door in het wetsvoorstel een tweede lid aan artikel 14 toe te voegen waarin de uniforme openbare voorbereidingsprocedure, bedoeld in Afdeling 3.4 van de Awb, van toepassing wordt verklaard op de voorbereiding van een beslissing over het al dan niet goedkeuren van een voorgelegde ontwerpgedragscode. Bij nader inzien dienen de zorgvuldigheid van de voorbereiding van een dergelijk besluit en de mogelijkheden tot inspraak voor belanghebbenden bij een dergelijk besluit, wat ons betreft, te prevaleren boven de snelheid waarmee een dergelijk besluit kan worden genomen. Dit komt het draagvlak voor de desbetreffende gedragscode uiteindelijk ook ten goede. Het advies van de Afdeling advisering heeft ons ervan overtuigd dat artikel 40 AVG niet in de weg staat aan het van toepassing verklaren van deze afdeling van de Awb. Artikel 40 van de AVG schrijft niet voor op welke wijze goedkeuring op nationaal niveau moet plaatsvinden. Bovendien zijn er ook andere mogelijkheden (dan een snelle procedure) om te bevorderen dat er gebruik wordt gemaakt van het instrument gedragscode zoals de opdracht aan de lidstaten en de toezichthoudende autoriteiten in artikel 40, eerste lid, AVG luidt. De toelichting is op dit punt aangepast. Wij zien thans geen reden om uniforme openbare voorbereidingsprocedure ook op andere goedkeuringsbesluiten van de Autoriteit persoonsgegevens van toepassing te verklaren.

4. Uitvoering en evaluatie

a. Spanning tussen regelgeving en uitvoeringspraktijk

De toepassing van de gegevensbeschermingswetgeving is van oudsher een bron van aandacht en zorg. De consistente lijn lijkt blijkens ervaringen en onderzoeken uit het verleden te zijn dat deze toepassing ernstig te wensen overlaat. De Afdeling wijst bijvoorbeeld op de evaluatie van de huidige Wbp uit 2008 waarin het beeld naar voren kwam van een wet «die in de rechtspraktijk niet erg leeft, betrekkelijk lastig hanteerbaar wordt geacht en waarbij een op de toepassing gerichte privacygemeenschap en -cultuur nog niet in de volle breedte tot ontwikkeling is gekomen».50 Hoewel er in algemene zin maatschappelijke aandacht is voor gegevensbescherming en er op deelonderwerpen een strengere handhaving en nieuwe rechtspraak tot stand zijn gekomen, zijn er geen aanwijzingen dat de toepassingspraktijk van de Wbp sindsdien wezenlijk is verbeterd.51

Tegen deze achtergrond dient de AVG nadrukkelijk op haar uitvoeringsaspecten te worden bezien. Daarbij wijst de Afdeling erop dat de AVG ten opzichte van Richtlijn 95/46/EG en de daarop gebaseerde Wbp op een aantal punten gedetailleerder en complexer is. De verplichtingen van de verwerkingsverantwoordelijken worden aanzienlijk uitgebreid. Weliswaar is de voorafgaande meldingsplicht van Richtlijn 95/46/EG komen te vervallen,52 maar daar is een aantal andere verplichtingen voor in de plaats gekomen. Naast de algemene verantwoordingsplicht van de verantwoordelijke53 zijn er onder meer verplichtingen tot het bijhouden van een register van verwerkingsactiviteiten,54 het voeren van gegevensbeschermingsbeleid,55 het uitvoeren van een gegevensbeschermingseffectbeoordeling,56 het gebruikmaken van «privacy by design» en «privacy by default»57 en het aanwijzen van een functionaris voor de gegevensbescherming.58 Ook als het gaat om de rechten van de betrokkene is de AVG op een aantal punten complexer dan Richtlijn 95/46/EG. Nieuwe rechten zoals het «recht op vergetelheid»,59 het recht op overdraagbaarheid van gegevens60 en het uitgebreide recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (waaronder profilering)61 zijn nog niet van een werkbare concretisering voorzien.

In het licht van het voorgaande gaat de toelichting slechts summier in op de uitvoeringsaspecten. Gesteld wordt dat de uitvoeringslasten van het wetsvoorstel voor overheden, bedrijfsleven en burgers volgen uit de verordening zelf of uit verplichtingen die reeds bestaan op grond van de huidige Wbp. Op de administratieve lasten en nalevingskosten die uit de AVG voortvloeien, heeft het wetsvoorstel geen invloed. Om deze reden en omdat de implementatie – ten opzichte van de huidige Wbp – beleidsneutraal wordt uitgevoerd, zijn er van de Uitvoeringswet geen zelfstandige effecten te verwachten op de regeldruk en de nalevingslasten, aldus de toelichting.62

De Afdeling acht deze toelichting niet toereikend. De gevolgen van de AVG voor burgers, bedrijven en overheden zullen aanzienlijk zijn. Ook de bekendheid met de naderende veranderingen lijkt nog te wensen over te laten.63 Gevoegd bij de gebrekkige uitvoeringspraktijk gedurende een lange reeks van jaren onder de bestaande wetgeving, zal de komende periode een majeure inspanning nodig zijn om de AVG en de daarmee samenhangende wetgeving op een enigszins aanvaardbaar niveau uitgevoerd te krijgen. De toelichting geeft van de urgentie daarvan onvoldoende blijk. Daarbij merkt de Afdeling op dat de regering, ondanks de Europese oorsprong van de nieuwe regels en de rechtstreekse toepasselijkheid daarvan, mede verantwoordelijk is voor een effectieve uitvoering van de AVG in de Nederlandse samenleving.64

Het is de Afdeling bekend dat op dit moment al de regering en de Autoriteit Persoonsgegevens de nodige aandacht besteden aan voorlichting en informatievoorziening, met name over de nieuwe verplichtingen van bedrijven als verwerkingsverantwoordelijke. Ook juridische dienstverleners bieden op grote schaal hun diensten aan om de implementatie van de nieuwe regels in goede banen te geleiden. De vraag is evenwel of die inspanningen, gelet op de reeds bestaande spanning tussen de gegevensbeschermingswetgeving en de uitvoeringspraktijk, voldoende zullen zijn. Overwogen zou moeten worden of in samenspraak met de Autoriteit persoonsgegevens en met diverse partijen in de samenleving een samenhangend uitvoeringsprogramma moet worden ontwikkeld dat de uitvoering geleidelijk op het gewenste niveau kan brengen.

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan.

b. Technologische ontwikkelingen

De uitvoeringsproblematiek wordt verder gecompliceerd door de steeds sneller gaande technologische ontwikkelingen. Zo zijn er steeds meer mogelijkheden om op grote schaal gegevens te analyseren en te gebruiken, met behulp van zogeheten «Big data»: grote hoeveelheden gestructureerde data die uit verschillende bronnen afkomstig zijn en die op geautomatiseerde wijze op mogelijke correlaties kunnen worden doorzocht en geanalyseerd. Een ander voorbeeld van technologische vernieuwing biedt de opkomst van blockchaintechnologie65, waarvan het gebruik ook dwingt tot het opnieuw onder ogen zien van belangrijke vragen rondom gegevensbescherming en het toezicht daarop. Het gebruik van Big Data analyses biedt kansen, ook voor gebruik door de overheid. Zo kan het volgens de regering bijdragen aan een efficiënter en effectiever gebruik van gegevens door politie en justitie, bijvoorbeeld om preventief op te kunnen treden.66

Deze technologische ontwikkelingen lijken vergaande gevolgen te gaan hebben voor de wetgeving en voor de basisprincipes die daaraan ten grondslag liggen. De WRR wijst er in zijn rapport Big Data in een vrije en veilige samenleving op dat hierdoor de traditionele beginselen van doelbinding en noodzakelijkheid zoals deze in de huidige wetgeving inzake gegevensbescherming zijn neergelegd onder druk komen te staan.67 Er tekent zich een fundamentele verschuiving af, waarbij de aandacht in het proces van gegevensverwerking voor het verzamelen van gegevens verschuift naar de analyse en het gebruik daarvan. De WRR benadrukt weliswaar de waarde van het huidige regelgevende kader, maar stelt dat, in aanvulling daarop, de aandacht zou moeten worden verlegd van het reguleren van het verzamelen van data – het zwaartepunt in de huidige juridische kaders – naar de regulering van en het toezicht op de fases van de analyse en het gebruik van gegevens. Alleen door extra eisen te stellen aan het toepassen van Big Data-analyses kan het vertrouwen bij burgers worden gecreëerd en bevestigd dat verwerkingsverantwoordelijken niet sluipenderwijs doordringen in de persoonlijke vrijheid van burgers.68

De AVG is in hoofdzaak een voortzetting van het in Richtlijn 95/46/EG neergelegde regelgevingskader. In aanvulling daarop brengt de AVG met het oog op de technologische ontwikkelingen op een beperkt aantal punten vernieuwingen.69 Ondanks deze aanpassingen is de vraag in hoeverre de AVG en daarmee verwante wetgeving zodanig is toegerust op de technologische ontwikkelingen dat zij in de uitvoeringspraktijk kan leiden tot een effectieve bescherming van algemene beginselen van gegevensbescherming. Tegen deze achtergrond zou in de noodzakelijke uitvoeringsbegeleiding (zie hiervoor punt a) nadrukkelijk aandacht besteed dienen te worden op welke wijze de technologische ontwikkelingen zoals hiervoor geschetst kunnen worden geïncorporeerd in de praktische toepassing van de AVG en de Uitvoeringswet.

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan.

c. Evaluatie

De Autoriteit Persoonsgegevens heeft geadviseerd om de Uitvoeringswet periodiek te evalueren. De regering heeft dat advies niet overgenomen onder verwijzing naar de evaluatiebepaling in de AVG die betrekking heeft op de verordening zelf.70 In de Uitvoeringswet worden geen zelfstandige beleidsdoelen nagestreefd. In dat licht ligt een evaluatie niet voor de hand, aldus de toelichting.71

De Afdeling acht deze reactie niet toereikend. Zij merkt allereerst op dat ter invulling van de door de AVG toegekende nationale beleidsruimte in de Uitvoeringswet verschillende keuzes worden vastgelegd. Tegelijkertijd worden bepaalde mogelijkheden om bij lidstatelijk recht de AVG aan te vullen of ervan af te wijken juist niet ingevuld. De reden hiervoor is vaak gelegen in het uitgangspunt de AVG zo veel mogelijk beleidsneutraal uit te voeren. In die zin zijn nationale beleidskeuzes wel aan de orde.

Voorts acht de Afdeling het met het oog op een effectieve uitvoering van de AVG, ook op termijn, van groot belang dat in aanvulling op de evaluatie van de AVG op EU-niveau, binnen een redelijke termijn deugdelijk onderzoek wordt gedaan naar de uitvoeringspraktijk. Deze kan verschillen per lidstaat. Evaluatie is te meer nodig vanwege de gebrekkige uitvoering gedurende een lange reeks van jaren onder de bestaande wetgeving in samenhang met de toenemende complexiteit van het gegevensbeschermingsrecht.

De Afdeling adviseert een evaluatiebepaling in de Uitvoeringswet op te nemen.

4. Uitvoering en evaluatie

a. Spanning tussen regelgeving en uitvoeringspraktijk

De Afdeling advisering plaatst kanttekeningen bij de toelichting met betrekking tot de uitvoeringsaspecten. Zij wijst er op dat de gevolgen van de AVG voor burgers, bedrijven en overheden aanzienlijk zullen zijn en dat er de komende jaren forse inspanningen nodig zijn om de AVG op een aanvaardbaar niveau uitgevoerd te krijgen. De toelichting geeft van deze urgentie onvoldoende blijk, aldus de Afdeling advisering.

Met de Afdeling advisering onderschrijven en onderstrepen wij het belang van een goede en tijdige voorbereiding op de AVG. De overheid moet met de andere relevante actoren, ieder vanuit zijn eigen verantwoordelijkheid en met inachtneming van de onafhankelijke positie van de Autoriteit persoonsgegevens, samenwerken om de kennis over de AVG en de Uitvoeringswet bij burgers en bedrijven en overheden op het juiste niveau te krijgen. Informatievertrekking en advies zijn daarbij onontbeerlijk en daar is zeker ook een taak voor de rijksoverheid – en in het bijzonder het Ministerie van Justitie en Veiligheid – weggelegd. Met het oog daarop heeft het ministerie onder meer een handleiding AVG laten opstellen, die periodiek zal worden geactualiseerd. Dit laat echter vanzelfsprekend onverlet dat de uiteindelijke verantwoordelijkheid voor het naleven van wet- en regelgeving ligt bij alle afzonderlijke overheidsinstellingen, bedrijven en organisaties indien zij persoonsgegevens verwerken.

De memorie van toelichting is, naar aanleiding van het advies van de Afdeling advisering, aanzienlijk uitgebreid met paragraaf 6.3 over de uitvoeringslasten en de uitvoeringskosten die zijn verbonden aan de nieuwe normen en verplichtingen die direct voortvloeien uit de AVG. Tevens wordt in paragraaf 6.3.6 ingegaan op de initiatieven die reeds worden ondernomen en die op stapel staan om alle verwerkingsverantwoordelijken tijdig te informeren over de stappen die zij moeten zetten om aan deze nieuwe normen en verplichtingen te voldoen.72

b. Technologische ontwikkelingen

De Afdeling advisering overweegt in haar advies dat de AVG in hoofdzaak een voortzetting is van het in Richtlijn 95/46/EG neergelegde regelgevingskader. In aanvulling daarop brengt de AVG volgens haar met het oog op de technologische ontwikkelingen op een beperkt aantal punten vernieuwingen. Gezien de snelheid van de technologische ontwikkelingen, is het nieuwe gegevensverwerkingsrecht inderdaad geen rustig bezit. De Afdeling advisering werpt dan ook terecht de vraag op in hoeverre de AVG en daarmee verwante regelgeving zodanig is toegerust op deze technologische ontwikkelingen dat zij ook in de toekomstige uitvoeringspraktijk kan blijven leiden tot een effectieve bescherming van algemene beginselen van gegevensbescherming.

De blockchain als illustratie; wat is een blockchain?

Een illustratief voorbeeld dat ook door de Afdeling werd opgevoerd, is de blockchaintechnologie en de gegevensbeschermingsvraagstukken die deze technologie met zich meebrengt. Allereerst de vraag: wat is een blockchain? Een blockchain is, kortgezegd, een netwerk waarin elke deelnemende computer een «kopie» van een gegevensbestand onderhoudt. Het bijzondere van blockchain is de manier waarop de gegevensbestanden synchroon worden gehouden. De traditionele aanpak zou zijn dat er één centraal bestand is (de master), dat door de andere computers (de slaves) wordt gekopieerd. De idee van een blockchain is nu juist dat er geen centrale autoriteit of tussenpersoon is, dus ook geen master database. In plaats daarvan is er een voorgeprogrammeerde set van regels (het zogenaamde consensus protocol) aan de hand waarvan elke computer zelf kan nagaan welke mutaties legitiem zijn en dus mogen worden verwerkt in zijn «kopie» van het bestand. Omdat elke computer dezelfde regels toepast, zouden alle gegevensbestanden gelijk moeten blijven luiden. Aan een blockchain kunnen in beginsel alleen gegevens worden toegevoegd. Zo is het bewust ontworpen. Het wissen/corrigeren van gegevens zou alleen kunnen worden gerealiseerd door een speciaal daarvoor geschreven update in de software uit te brengen. Die update is echter alleen effectief als elke computer haar zou aanvaarden en geheel in lijn met de decentrale filosofie achter blockchain is dit niet af te dwingen. Het bekendste voorbeeld van een blockchain is Bitcoin. Bij deze toepassing van blockchaintechnologie wordt het gegevensbestand gebruikt om alle geautoriseerde betalingen vast te leggen maar deze technologie kan (en zal naar verwachting) een veel groter toepassingsbereik krijgen, omdat het in wezen gaat om een generieke oplossing voor situaties waarin men zonder de tussenkomst van een centrale autoriteit of een tussenpersoon een «gedeelde waarheid» wil onderhouden.

Welke privacy gerelateerde vragen werpt deze nieuwe technologie op en hoe daarmee om te gaan?

Er rijzen wel een aantal lastige vragen over de toepassing en toepasbaarheid van het gegevensbeschermingsrecht op dergelijke blockchains. Zo kan de vraag worden gesteld of, met name in zogenaamde «unpermissioned blockchains», waarin de software de lakens uitdeelt en iedereen onder een pseudoniem deelneemt, nog wel een verantwoordelijke valt aan te wijzen. Ook rijst de vraag in hoeverre het recht op vergetelheid en, meer in het algemeen, het recht op vernietiging van persoonsgegevens zouden moeten worden geëffectueerd in een systeem dat juist ontworpen is om niets te vergeten. Tot slot is de vraag relevant hoe effectief toezicht kan worden gerealiseerd, nu de computers in een blockchain overal ter wereld (kunnen) staan.

Hoe complex deze vraagstukken ook mogen zijn, het is van belang om niet uit het oog te verliezen dat een fenomeen als blockchain er natuurlijk niet toe noopt om anders te gaan denken over het belang van privacy en gegevensbescherming: ook in een blockchain zal de privacy gewaarborgd moeten worden en zullen de persoonsgegevens rechtmatig moeten worden verwerkt. Voorstelbaar is dat daarbij veel zal aankomen op privacy by design. Bij Bitcoin is er bijvoorbeeld voor gekozen om bij de transacties geen namen en andere persoonsgegevens te registreren, maar alleen nietszeggende rekeningnummers (afgeleid van de public key van een digitale handtekening). Dat geeft geen anonimiteit, maar pseudonimiteit. Is eenmaal bekend wie achter het pseudoniem zit (daar bestaan methoden voor), dan zijn ook alle transacties die onder dit pseudoniem zijn gedaan op deze persoon terug te voeren. Maar ook voor de oplossingen van de complexe vraagstukken die opkomen, kan soms weer gekeken worden naar nieuwe technologische ontwikkelingen. Zo zal wellicht met homomorfe encryptie in de toekomst een deel van de vraagstukken worden opgelost. Deze techniek maakt het mogelijk voor computers om te rekenen met versleutelde data. Het netwerk kan dan mutaties verifiëren, zonder de inhoud ervan te kennen.

Op dit moment is een verkennend onderzoek gaande73 naar blockchain dat naar verwachting medio 2018 afgerond zal worden. Het doel van het onderzoek is om te verhelderen welke ruimte de huidige wettelijke kaders laten voor het benutten van de kansen die blockchaintechnologie burgers, bedrijven en overheden biedt en voor het mitigeren van de daarmee gepaard gaande risico’s. Tevens zullen indien nodig aandachtspunten voor toekomstige wetgeving worden geïdentificeerd.

Eén van de toepassingen, die de onderzoekers zich hebben voorgenomen te onderzoeken, gaat specifiek over privacy, namelijk over het vastleggen en delen van persoonsgegevens door de overheid op een blockchain. Hierbij zullen een aantal van de vragen en dilemma’s zoals hiervoor geschetst verkend worden.

Effecten van technologie op huidige uitvoeringspraktijk

Naast fundamentele vragen over de (toekomstige) verhouding tussen technische mogelijkheden en de mogelijkheden om de persoonsgegevens effectief te blijven beschermen, maken de verschillende technologische ontwikkelingen de uitvoeringspraktijk er ook nu al onmiskenbaar niet eenvoudiger op.

Met het oog hierop heeft het toenmalige kabinet in zijn standpunt over het WRR-rapport: «Big Data in een vrije en veilige samenleving» een aantal beleidsuitgangspunten geformuleerd voor het kabinetsbeleid met betrekking tot Big Data in het veiligheidsdomein, waarbij is aangetekend dat sommige van deze beleidsuitgangspunten ook betekenis kunnen hebben voor andere domeinen, zoals dienstverlening en zorg.74 Er is bewust gekozen voor beleidsuitgangspunten, omdat het terrein van Big Data nog zo in beweging is dat het – zeker in dit stadium – lastig is om, in aanvulling op de algemene waarborgen in de AVG, meer specifieke waarborgen in de Nederlandse wetgeving vast te leggen die niet alleen voldoende sturend maar ook voldoende flexibel (en daarmee toekomstbestendig) zijn. Ook de AVG zelf bevat relatief weinig specifieke waarborgen met betrekking tot de verwerking van persoonsgegevens ten behoeve van geavanceerde data-analyses.75

Een en ander neemt niet weg dat wij bezien of de wettelijke basis voor het uitvoeren en gebruiken van data-analyses versterking behoeft, met inbegrip van de waarborgen die daarbij gehanteerd dienen te worden. Dit is één van de actiepunten uit voornoemd kabinetsstandpunt, waarvan de uitvoering moet bijdragen aan een effectieve bescherming van algemene beginselen van gegevensbescherming bij toepassing van Big Data.76 Ter uitvoering van dit actiepunt wordt nu onder meer bezien of de beoogde Wet gegevensverwerking door samenwerkingsverbanden naast een heldere grondslag voor data-analyses binnen dergelijke samenwerkingsverbanden ook een aantal specifieke waarborgen voor de kwaliteit van dergelijke analyses en de transparantie rond deze analyses kan gaan bevatten.

De Afdeling advisering adviseert verder om ook in de noodzakelijke uitvoeringsbegeleiding aandacht te besteden aan de wijze waarop technologische ontwikkelingen kunnen worden geïncorporeerd in de praktische toepassing van de AVG en van de Uitvoeringswet. De incorporatie hiervan vergt deels nader onderzoek. Zo is een van de andere actiepunten uit voornoemd kabinetsstandpunt het uitvoeren van een onderzoek naar het verschaffen van voldoende inzicht in gebruikte algoritmen en analysemethoden ten behoeve van toezicht en rechterlijke toetsing. Ook wordt gezocht naar wegen om de transparantie rond Big Data toepassingen door de overheid te vergroten. De uitvoeringsbegeleiding op genoemd vlak heeft al wel concretere vormen aangenomen in het kader van experimenten die met betrekking tot Big Data worden uitgevoerd. Zo wordt de zogenaamde «City Deal zicht op ondermijning» uitgevoerd aan de hand van een toetsingskader waarin principes uit de AVG vertaald zijn naar stappen die bij het uitvoeren van data-analyses in het kader van deze City Deal gezet dienen te worden.77 Afhankelijk van de ervaringen met dit toetsingskader zal worden bezien of dit tot een meer generiek kader kan worden omgebouwd waarvan mogelijk sommige elementen naderhand in wetgeving kunnen worden vastgelegd.

Ook in de noodzakelijke uitvoeringsbegeleiding, waarover onder punt 4a al het nodige is opgemerkt, is nadrukkelijk aandacht voor de vraag hoe bepaalde technologische ontwikkelingen kunnen worden geïncorporeerd in de praktische toepassing van de AVG en de Uitvoeringswet. Hierbij willen wij in ieder geval graag wijzen op het recent door de minsterraad vastgestelde nieuwe Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA),78 waarin apart aandacht wordt besteed aan Big Data verwerkingen en de maatregelen die in dat kader moeten worden overwogen. Ook het opstellen van dit model was een toezegging uit de kabinetsreactie op het advies van de WRR over Big Data.

In hoofdstuk 5a van het Besluit SUWI (structuur uitvoeringsorganisatie werk en inkomen) zijn reeds bepalingen opgenomen over het systeem risico indicatie (SyRi).79 Hierbij is inzicht gegeven in het proces van data-analyse in het samenwerkingsverband, de verschillende verantwoordelijkheden en de bevoegdheden van de bij het samenwerkingsverband betrokken instanties (zoals uitvoeringsinstanties sociale zekerheid, Belastingdienst en Inspectie SZW) om fraude met uitkeringswetten en belastingen en premies te bestrijden en voor het toezicht op niet naleven van arbeidswetten en opsporing van daarmee samenhangende overtredingen. De elementen die de Afdeling advisering noemt (zoals het proces van verwerking van aangeduide soorten gegevens en de wijze van analyse, waarbij de gegevens worden gepseudonimiseerd, inzicht in bewaartermijnen en vernietiging en de wijze waarop de betrokkenen worden geïnformeerd over de risicomeldingen) zijn in dit kader geregeld. Daarmee wordt inzicht gegeven in de fasen van data-analyse en kan de betrokkene inzage krijgen in de resultaten van de data-analyses alsmede in de vraag door wie de uitkomsten daarvan gebruikt (mogen) worden. Dit is een voorbeeld van hoe, door het nadere regelen van de onderliggende processen, bij dit soort analyses de AVG kan worden uitgevoerd. Tevens worden extra eisen gesteld aan het toepassen van Big Data analyse hetgeen, aldus de Afdeling advisering, de enige manier is om het vertrouwen van burgers in deze techniek te creëren.

De rol van de toezichthouder en het Comité

De vraag of voornoemde en door de Afdeling advisering geschetste technologische ontwikkelingen ook daadwerkelijk vergaande gevolgen gaan hebben voor de wetgeving en de basisprincipes die daaraan ten grondslag liggen, valt op voorhand echter moeilijk te beantwoorden. Idealiter zouden de AVG en de Uitvoeringswet gezamenlijk in ieder geval het komende decennium moeten volstaan als juridisch kader. Een kader dat aan de ene kant voldoende bescherming en helderheid biedt maar aan de andere kant ook ruimte laat om de ontwikkeling van nieuwe technologie niet in de weg te staan (maar ook wel weer afdoende te normeren).

Vanzelfsprekend speelt de nadere concretisering van bepaalde open normen uit de AVG door het Comité en door nationale toezichthouders hierbij een rol voor wat de rechtsontwikkeling betreft. Deze rechtsvormende rol voor het Comité zal eens te meer gelden ten aanzien van ontwikkelingen die bij de totstandkoming van de AVG nog niet voorzien waren. De AVG staat op dit moment vast waardoor het aan de uitvoeringspraktijk, meer concreet aan de toezichthouders, is om invulling te geven aan de zo veel mogelijk tijd en techniek onafhankelijk geformuleerde normen en begrippen. Het Comité en de nationale toezichthoudende autoriteiten zullen, als dit zich voordoet, een adviserende maar ook een beleidsvormende en agenderende rol dienen te gaan spelen daar waar de technologie ons voor nieuwe vragen stelt.

Toezicht houden op de bescherming van persoonsgegevens is niet slechts een juridische exercitie, maar ook het voortdurend anticiperen op maatschappelijke en technologische ontwikkelingen. Dat is op dit moment al de realiteit van de uitvoeringspraktijk. Een belangrijk deel van de onderzoeken die de Autoriteit persoonsgegevens jaarlijks doet, begeeft zich nu al in dat speelveld. Ter ondersteuning van de toezichthouders en de verwerkingsverantwoordelijken vormt de Artikel 29-werkgroep (straks het Comité), beleid om duiding te geven aan nieuwe technieken in relatie tot de normen en begrippen uit de AVG.

De Autoriteit persoonsgegevens is zich terdege bewust van de rol die zij hierin dient te spelen hetgeen, onder meer, tot uitdrukking komt door de inrichting van de nieuwe organisatie. Zo zal een afzonderlijke afdeling zich bezighouden met Beveiliging en Technologie om op deze wijze onder meer experts op technologisch gebied in staat te stellen de laatste technologische ontwikkelingen te volgen, te doorgronden, te onderzoeken en om kennis daarover aan andere afdelingen binnen de organisatie te verstrekken.

De toelichting is niet aangevuld met de informatie uit deze paragraaf omdat het voorgaande zich in onze ogen minder goed leent voor vermelding in de memorie van toelichting bij deze Uitvoeringswet.

c. Evaluatie

Het advies van de Afdeling advisering om een evaluatiebepaling in de Uitvoeringswet op te nemen, is overgenomen. De evaluatiebepaling is zo vormgegeven dat bij de evaluatie van de Uitvoeringswet telkens gebruik kan worden gemaakt van en voortgeborduurd kan worden op hetgeen uit de evaluatie van de AVG op grond van artikel 97 AVG naar voren komt. De nadruk bij deze nationale evaluatie zal vanzelfsprekend komen te liggen op de gevolgen voor de uitvoeringspraktijk van de op nationaal gemaakte keuzes.

Met name de eerste evaluatie zal zich richten op de uitvoeringspraktijk en daarmee tevens op effecten van de keuze voor de beleidsneutrale implementatie. Met het oog op de door de Afdeling advisering genoemde toegenomen complexiteit van het gegevensbeschermingsrecht zullen de onderwerpen die dan geëvalueerd worden onder meer de uitvoerbaarheid en handhaafbaarheid zijn en daar direct mee samenhangend de duidelijkheid en toegankelijkheid.

II. VERHOUDING UITVOERINGSWET EN VERORDENING

5. Toepassingsbereik

a. Verhouding tot het Unierecht

Artikel 2, tweede lid, onderdeel a, AVG bepaalt dat de verordening niet van toepassing is op de verwerking van persoonsgegevens «in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen.» De memorie van toelichting wijst erop dat het begrip «activiteiten die buiten de werkingssfeer van het Unierecht vallen» in de regel wordt uitgelegd als: activiteiten waarop geen norm van Unierecht van toepassing is en waarbij geen grensoverschrijdende aspecten aan de orde zijn. Deze lezing impliceert een ruime uitleg van deze uitzondering. Deze ruime uitleg zou er echter toe leiden dat de grenzen van de werkingssfeer van de verordening onzeker en vaag worden. Dit zou afbreuk doen aan de doelstellingen van de verordening, aldus de toelichting.80 Om deze reden heeft het HvJEU de bestaande uitzondering in Richtlijn 95/46/EU – die een vergelijkbare bepaling kent als artikel 2, tweede lid, onder a, AVG – beperkt uitgelegd. Op grond van deze rechtspraak81 is Richtlijn 95/46/EG van toepassing op iedere verwerking van persoonsgegevens, tenzij het gaat om specifieke door Richtlijn 95/46/EG uitgezonderde verwerkingsactiviteiten.82

De regering gaat ervan uit dat deze vaste rechtspraak ook van toepassing zal zijn op de uitzondering, bedoeld in artikel 2, tweede lid, onderdeel a, AVG. Bij de totstandkoming van de AVG is het immers nooit de bedoeling geweest van deze op Richtlijn 95/46/EG betrekking hebbende vaste rechtspraak af te wijken. Dit betekent volgens de regering dat uitsluitend gegevensverwerkingen die in hun geheel zijn uitgezonderd van de werking van het Unierecht – te weten verwerkingen in het kader van de nationale veiligheid – onder de uitzondering van artikel 2, tweede lid, onderdeel a, AVG zullen vallen. De AVG is daarmee – ongeacht of er sprake is van een grensoverschrijdend aspect – in beginsel83 van toepassing op alle gegevensverwerkingen, aldus de toelichting.

De Afdeling onderschrijft het oogmerk de bestaande situatie met betrekking tot de reikwijdte van de wet te continueren. De stelling dat de genoemde rechtspraak van toepassing zal zijn op de AVG acht zij met het oog daarop op zichzelf gezien verdedigbaar. Niettemin is de vraag of op grond van deze rechtspraak volledig kan worden uitgesloten dat er – buiten het terrein van de nationale veiligheid – soorten gegevensverwerking blijven bestaan die buiten het toepassingsbereik van de AVG zullen vallen.84 De Afdeling wijst er in dat verband op dat de uitzonderingsbepalingen van Richtlijn 95/46/EG en AVG niet volledig identiek zijn. Voorts is van belang dat de huidige Wbp uitdrukkelijk bepaalt dat de wet, behoudens de daarin genoemde uitzonderingen85, van toepassing is op alle gegevensverwerkingen. Dat leidt ertoe dat de werkingssfeer van de Nederlandse wetgeving op dit punt niet afhankelijk is van de rechtspraak van het HvJEU. Door het wetsvoorstel verandert die systematiek doordat de werkingssfeer van de Uitvoeringswet aansluit op die van de AVG.86 Daardoor zal in de nieuwe situatie, anders dan op dit moment onder de Wbp het geval is, de werkingssfeer van de Nederlandse wetgeving worden bepaald door die van de AVG en door de uitleg die het HvJEU zal geven aan de in AVG opgenomen uitzonderingsbepaling.

Gelet op het voorgaande zou met het oog op de rechtszekerheid en met het oog op de kenbaarheid van het wettelijk stelsel overwogen moeten worden om de huidige systematiek van de Wbp te continueren. Dit is mogelijk door in de Uitvoeringswet te bepalen dat de AVG van overeenkomstige toepassing is op alle verwerkingen van persoonsgegevens als bedoeld in artikel 2, eerste lid, AVG87 die buiten het Unierecht vallen, behoudens de in die wet te noemen uitzonderingen.88

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan en zo nodig het wetsvoorstel aan te passen.

b. Afbakening AVG en Richtlijn gegevensbescherming opsporing en vervolging

Artikel 2, tweede lid, onderdeel d, van de AVG sluit toepassing van de verordening uit op de materie waarop de richtlijn gegevensbescherming opsporing en vervolging van toepassing is. De reikwijdte van richtlijn en verordening sluiten elkaar volgens de toelichting woordelijk uit: «waar de richtlijn van toepassing is, is de verordening dit niet en omgekeerd».89 Daarnaast vermeldt de toelichting dat verschillende uitvoeringsorganisaties op het terrein van politie en justitie te maken zullen krijgen met twee verschillende normatieve kaders: de bepalingen van de verordening die rechtstreeks toepasselijk zijn en de nationale regelgeving die de richtlijn implementeert. Het toepasselijk kader is afhankelijk van de taak die wordt uitgevoerd. Bij de voorstellen die strekken tot implementatie van de richtlijn gegevensbescherming opsporing en vervolging zal uitgebreid worden ingegaan op de vraag welke taken van de verschillende organisaties onder de richtlijn, en welke taken onder de verordening zullen vallen wat betreft de verwerking van persoonsgegevens, aldus de toelichting.90

De Afdeling merkt op dat deze toelichting niet volstaat en dat het met het oog op de zelfstandige begrijpelijkheid en toepasbaarheid van de Uitvoeringswet AVG van belang is dat ook de memorie van toelichting bij het voorliggende wetsvoorstel uitvoeriger ingaat op de afbakening tussen de reikwijdte van de AVG en de richtlijn.

De Afdeling adviseert de toelichting in het licht van het vorenstaande aan te vullen.

5. Toepassingsbereik

a. Verhouding tot het Unierecht

De Afdeling advisering onderschrijft het standpunt van de regering dat uitsluitend gegevensverwerkingen die in hun geheel zijn uitgezonderd van de werking van het Unierecht, onder de uitzondering van artikel 2, tweede lid, onderdeel a, AVG zullen vallen. De AVG is daarmee – ongeacht of er sprake is van een grensoverschrijdend aspect – van toepassing op alle gegevensverwerkingen, met uitzondering van de gegevensverwerkingen die vallen onder een van de andere uitzonderingen als bedoeld in artikel 2, tweede lid, onderdelen b tot en met d, AVG.

In de toelichting werd ervan uitgegaan dat alleen gegevensverwerkingen in het kader van de nationale veiligheid onder de uitzondering van artikel 2, tweede lid, onderdeel a, AVG zouden vallen. De Afdeling advisering vraagt zich niettemin af of volledig kan worden uitgesloten dat er daarnaast andere soorten gegevensverwerking blijven bestaan die buiten het toepassingsbereik van de AVG zullen vallen, en adviseert in de Uitvoeringswet te bepalen dat de AVG van overeenkomstige toepassing is op alle verwerkingen van persoonsgegevens als bedoeld in artikel 2, eerste lid, AVG die buiten het Unierecht vallen, behoudens de in die wet op te nemen uitzonderingen.

Wij gaan er vooralsnog van uit dat op grond van artikel 2, tweede lid, onderdeel a, AVG uitsluitend verwerkingen door of ten behoeve van de inlichtingen- en veiligheidsdiensten en verwerkingen door de krijgsmacht zijn uitgezonderd van toepassing van de AVG en daarmee van de Uitvoeringswet. Wij zijn het evenwel met de Afdeling advisering eens dat niet bij voorbaat geheel kan worden uitgesloten dat er toch nog andere verwerkingen kunnen bestaan die onder deze uitzonderingsgrond vallen. Om te voorkomen dat op dergelijke verwerkingen in het geheel geen regels omtrent de bescherming van de persoonlijke levenssfeer van toepassing zijn, wordt – overeenkomstig het advies van de Afdeling advisering – de wet van toepassing en de AVG op deze verwerkingen van overeenkomstige toepassing verklaard (zie artikel 3 van het wetsvoorstel). Dit geldt uiteraard niet voor verwerkingen door of ten behoeve van de inlichtingen- en veiligheidsdiensten. Voor verwerkingen door de krijgsmacht geldt een bijzondere regeling, die in de artikelsgewijze toelichting bij het wetsvoorstel nader wordt toegelicht.

De toelichting op het materiële toepassingsbereik van de AVG (paragraaf 2.2 van de memorie van toelichting) is met inachtneming van het bovenstaande verduidelijkt en uitgebreid.

b. Afbakening AVG en Richtlijn gegevensbescherming opsporing en vervolging

Ten aanzien van de afbakening tussen de reikwijdte van de AVG en de richtlijn gegevensbescherming opsporing en vervolging heeft de Afdeling advisering opgemerkt dat de toelichting niet volstaat omdat, voor de vraag welke taken van de verschillende organisaties onder de AVG dan wel onder de richtlijn vallen, de toelichting verwijst naar de voorstellen die strekken tot implementatie van de richtlijn gegevensbescherming opsporing en vervolging. Met het oog op de zelfstandige begrijpelijkheid en toepasbaarheid van de Uitvoeringswet is het volgens de Afdeling advisering van belang dat ook in de memorie van toelichting bij het voorliggende wetsvoorstel uitvoeriger op die afbakening wordt in gegaan. De Afdeling advisering adviseert de toelichting in het licht daarvan aan te vullen. Aan dit advies is gevolg gegeven. Paragraaf 2.3 van de memorie van toelichting is overeenkomstig dit advies aangevuld.

6. Gegevensverwerking taak van algemeen belang

a. Inleiding: artikel 6 AVG

Artikel 6 AVG is een bepaling van cruciaal belang. Hierin zijn de grondslagen van de gegevensverwerking opgenomen. De bepaling vormt een voortzetting en uitbreiding van artikel 7 Richtlijn 95/46/EG. Deze bepaling is in de Nederlandse wetgeving omgezet in het huidige artikel 8 Wbp.

Wil een gegevensverwerking onder de AVG rechtmatig zijn dan moet deze gebaseerd kunnen worden op een van de in artikel 6, eerste lid, opgesomde gronden. Artikel 6, eerste lid, onderdeel f, kan worden beschouwd als een restbepaling. Hierin wordt bepaald dat verwerking kan plaatsvinden als deze noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen of de grondrechten van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen. Anders dan in Richtlijn 95/46/EG wordt in artikel 6, eerste lid, bepaald dat deze algemene verwerkingsgrond niet geldt voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Het laatste betekent dat gegevensverwerking door de overheid onder de AVG uitsluitend kan worden gebaseerd op artikel 6, eerste lid, onderdelen c of e. Verwerking op deze gronden is alleen mogelijk als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting (onderdeel c) of als de verwerking noodzakelijk is «voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.» (onderdeel e).

In aanvulling op deze bepalingen zijn voor de gegevensverwerking door de overheid in artikel 6, tweede en derde lid, specifiekere bepalingen opgenomen. Voorts vindt in artikel 6, vierde lid, een nadere uitwerking plaats van het in artikel 5, eerste lid, onderdeel b, geregelde doelbindingsbeginsel. Zij bevat een aantal criteria om in een geval waarin gegevens worden verwerkt voor een ander dan het oorspronkelijke doel, te bepalen wanneer – in het verlengde van artikel 5, eerste lid, onderdeel b – dat andere doel met het oorspronkelijke doel «verenigbaar» is.

Artikel 6, tweede, derde en vierde lid, AVG zijn allen nieuw ten opzichte Richtlijn 95/46/EG. Deze bepalingen zijn gecompliceerd en moeilijk leesbaar. Met name als het gaat om gegevensverwerking in de publieke sector roepen zij veel vragen op. De Afdeling acht het voor de uitvoeringspraktijk van groot belang dat over de betekenis van artikel 6 AVG, in het bijzonder voor de publieke sector, meer duidelijkheid komt.

Over artikel 6, tweede, derde en vierde lid, AVG in relatie tot de Uitvoeringswet merkt de Afdeling het volgende op.

b. Specifieke wettelijke grondslag

De grondslagen voor gegevensverwerking volgen rechtstreeks uit de AVG en zijn dus niet opgenomen in de Uitvoeringswet. Niettemin is in het kader van de Uitvoeringswet de vraag aan de orde in hoeverre artikel 6 AVG verplicht tot het creëren van een specifieke wettelijke grondslag voor gegevensverwerkingen door de overheid. Daarvoor is van belang hoe de grondslagen van artikel 6, eerste lid, onderdelen c en e, zich verhouden tot het nieuwe artikel 6, derde lid, AVG. In laatstgenoemde bepaling wordt bepaald dat de rechtsgrond voor de in het eerste lid, onderdelen c en e, bedoelde verwerking moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Artikel 6, derde lid, wordt toegelicht in overweging 45 bij de AVG. Daarin staat dat de AVG niet voorschrijft dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan, aldus deze overweging, worden volstaan met wetgeving die als basis fungeert voor «verscheidene verwerkingen» als bedoeld in artikel 6, eerste lid, onderdelen c (verwerking ter uitvoering van een wettelijke verplichting) en e (verwerkingen noodzakelijk ter vervulling van een publieke taak).

De regering gaat ervan uit dat het nieuwe artikel 6, derde lid, AVG het wettelijk kader zoals dat geldt onder Richtlijn 95/46/EG en de Wbp niet wijzigt. Niet noodzakelijk is dat in de sectorspecifieke wetgeving expliciet is opgenomen dat ten behoeve van de wettelijke taak gegevens verwerkt mogen worden. Indien het noodzakelijk is om voor de uitvoering van de publieke taak persoonsgegevens te verwerken, kan de wettelijke grondslag voor de publieke taak tevens worden beschouwd als grondslag voor de verwerking van persoonsgegevens, aldus de toelichting.91 Deze lezing strookt volgens de regering ook met artikel 8, tweede lid, EVRM dat vereist dat een beperkingen van het recht op bescherming van het privéleven voorzienbaar moet zijn bij wet. Het gaat hier, aldus de toelichting, om een materieel wetsbegrip; voldoende is dat uit «een samenstel van wettelijke regels die tezamen een publieke taak aanduiden» voldoende kenbaar is dat persoonsgegevens worden verwerkt.

De Afdeling acht deze toelichting ontoereikend. Zij wijst er allereerst op dat op grond van artikel 10, eerste lid, Grondwet en artikel 8 EVRM geldt dat voor verwerkingen van persoonsgegevens die een inbreuk zijn op het recht op bescherming van het privéleven een specifieke wettelijke grondslag moet bestaan. In dit verband is relevant dat in de Straatsburgse en Nederlandse rechtspraak de afgelopen jaren tegen de achtergrond van het legaliteitsbeginsel enkele belangrijke uitspraken gedaan zijn, waarin afhankelijk van de specifieke context, een meer toegespitste wettelijke grondslag voor de verwerking van persoonsgegevens noodzakelijk wordt geacht.92

Voorts merkt de Afdeling op dat uit artikel 6, derde lid, AVG in samenhang met de genoemde overweging 45 bij de AVG niet kan worden afgeleid dat de wettelijke grondslag voor de publieke taak in alle gevallen tevens kan worden beschouwd als de grondslag voor de verwerking van persoonsgegevens. Genoemde overweging vermeldt slechts dat niet voor elke afzonderlijke verwerking specifieke wetgeving vereist is; volstaan kan worden, aldus deze overweging, met een wettelijke basis voor «verscheidene verwerkingen» in de gevallen dat de overheid optreedt ter uitvoering van een wettelijke verplichting of publieke taak.93 Dat wil echter niet zeggen dat met de wettelijke grondslag voor een publieke taak of verplichting steeds ook de wettelijke grondslag voor de gegevensverwerking gegeven is.

De Afdeling adviseert de toelichting in het licht van bovenstaande aan te passen en in te gaan op de gevolgen die dit heeft voor de mogelijk noodzakelijke aanpassing van sectorale wetgeving waarin op dit moment geen specifieke grondslag is opgenomen voor verwerkingen van gegevens als bedoeld in artikel 6, eerste lid, onderdelen c en e, AVG.

c. Verstrekking aan andere bestuursorganen

De vraag in hoeverre een expliciete grondslag voor de gegevensverwerking door overheidsinstanties noodzakelijk is, komt ook naar voren als het gaat om de verwerking van gegevens door een andere verantwoordelijke dan degene die ze oorspronkelijk verzameld heeft. Anders dan artikel 7, onderdeel e, van Richtlijn 95/46/EG94 biedt artikel 6, eerste lid, onderdeel e, AVG geen grondslag voor een derde om gegevens te verstrekken aan een bestuursorgaan voor de uitoefening van een publieke taak. Onder de werking van laatstgenoemde bepaling mag een verwerkingsverantwoordelijke (zijnde een bestuursorgaan) alleen gegevens verwerken die voor zijn eigen publieke taak nodig zijn.95 Om dit te benadrukken geldt artikel 6, eerste lid, onderdeel f, AVG niet voor de gegevensverwerking door overheidsinstanties in het kader van de uitoefening van hun taken. Overweging 47 bij de AVG motiveert die uitsluiting met de opmerking dat het aan de wetgever is om de rechtsgrond voor persoonsgegevensverwerking door overheidsinstanties te creëren.

Uit de toelichting komt onvoldoende naar voren dat de AVG op dit punt gewijzigd is ten opzichte van de in de Wbp geïmplementeerde Richtlijn 95/46/EG. De Afdeling adviseert de toelichting op dit punt aan te vullen en daarbij in te gaan op de gevolgen die dit heeft voor de mogelijk noodzakelijke aanpassing van sectorale wetgeving.

d. Verdere verwerking van gegevens

Net als onder de werking van Richtlijn 95/46/EG, maakt de AVG het onder voorwaarden mogelijk af te wijken van het doelbindingsbeginsel ex artikel 5, eerste lid, onderdeel b, AVG. Dat betekent dat het onder omstandigheden mogelijk is om gegevens verder te verwerken voor een doel dat onverenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Een dergelijke verwerking is uitsluitend toegestaan indien dit berust op toestemming van de betrokkene of op een Unierechtelijke of lidstaatrechtelijke bepaling onder de in artikel 23 AVG gestelde voorwaarden.96 Voor verdere verwerking voor een onverenigbaar doel97 is dus, als er geen toestemming is, een specifieke wettelijke grondslag nodig. Die situatie is niet anders dan onder de werking van Richtlijn 95/46/EG. De bedoelde grondslagen zijn thans opgenomen in de sectorale wetgeving.

In bepaalde situaties is echter niet op voorhand duidelijk wanneer sprake is van een «verenigbaar doel». Om dat te kunnen bepalen bevat artikel 6, vierde lid, AVG een aantal criteria. Indien op grond van deze criteria het doel van de gegevensverwerking verenigbaar is met het oorspronkelijke doel, dan is deze verwerking toegestaan. Deze bepaling in de AVG – die nieuw is ten opzichte van Richtlijn 95/46/EG – lijkt sterk op artikel 9 Wbp.98

Uit de toelichting blijkt dat de regering ervan uitgaat dat het juridisch kader voor de verdere verwerking van persoonsgegevens ten opzichte van de huidige situatie niet verandert. Dit standpunt wordt in de toelichting onvoldoende gemotiveerd. Artikel 6, vierde lid, AVG, in combinatie met overweging 50 bij de AVG,99 kan immers ook zo worden gelezen dat in het geval door de overheid ter uitvoering van een publieke taak gegevens worden verwerkt voor een ander doel dan het oorspronkelijke doel, er een wettelijke grondslag nodig is, ongeacht of dat andere doel verenigbaar is of niet. In dat geval zouden de in artikel 6, vierde lid, opgenomen criteria om te bepalen of het doel verenigbaar is, voor gegevensverwerking door de overheid niet van betekenis zijn. Daar staat tegenover de hiervoor onder punt b aangehaalde overweging 45 bij de AVG waaruit blijkt dat niet voor elke afzonderlijke verwerking – en dus ook niet voor verdere verwerking voor een verenigbaar doel – specifieke wetgeving vereist is. In dat licht bezien kan artikel 6, vierde lid, AVG ook zo worden uitgelegd dat de daarin opgenomen criteria voor verenigbare verdere verwerking alleen niet relevant zijn in het geval er een specifieke wettelijke grondslag voor verdere verwerking is gecreëerd. In gevallen waarin die specifieke wettelijke grondslag er niet is, is artikel 6, vierde lid volgens deze interpretatie ook van toepassing op verwerking door de overheid en zal de overheid als verantwoordelijke aan de hand van de criteria voor verenigbare verdere verwerking van artikel 6, vierde lid, AVG moeten beoordelen of verdere verwerking toegestaan is. De Afdeling acht deze laatste interpretatie beter verdedigbaar dan de eerste.

De Afdeling adviseert de toelichting in het licht van het vorenstaande aan te vullen.

6. Gegevensverwerking taak van algemeen belang

a. Inleiding: artikel 6 AVG

Zoals hierna zal worden uiteengezet, is mede naar aanleiding van het advies van de Afdeling advisering de toelichting betreffende de beginselen inzake verwerking van persoonsgegevens (paragraaf 4.2) op een aantal punten verduidelijkt en uitgebreid.

Wij plaatsen een kanttekening bij de opmerking van de Afdeling advisering dat gegevensverwerking door de overheid uitsluitend kan worden gebaseerd op artikel 6, eerste lid, onderdelen c en e, AVG. Uiteraard zijn dit voor de overheid de meest voor de hand liggende rechtsgronden, maar de AVG sluit met betrekking tot de overheid uitsluitend het gerechtvaardigd belang (artikel 6, eerste lid, onderdeel f) uit. Het is dan ook niet bij voorbaat ondenkbaar dat onder omstandigheden, bij wijze van uitzondering en bij het ontbreken van een andere rechtsgrondslag, een gegevensverwerking door een overheidsinstantie plaatsvindt met uitdrukkelijke toestemming van de betrokkene.

Wij zijn het met de Afdeling advisering eens dat artikel 6, tweede en derde lid, waarin specifiekere bepalingen zijn opgenomen voor de gegevensverwerking door de overheid, en artikel 6, vierde lid, dat een nadere uitwerking bevat van het doelbindingsbeginsel, gecompliceerd en moeilijk leesbaar zijn. In de paragrafen 4.2.2 en 4.2.3 van de memorie van toelichting wordt daarom uitgebreid ingegaan op de betekenis van deze leden en de ruimte voor nationaalrechtelijke invulling die zij bieden.

b. Specifieke wettelijke grondslag

De Afdeling advisering merkt terecht op dat uit artikel 6, derde lid, AVG in samenhang met overweging 45 bij de AVG niet kan worden afgeleid dat de wettelijke grondslag voor de publieke taak in alle gevallen tevens kan worden beschouwd als de grondslag voor de verwerking van persoonsgegevens. Met de wettelijke grondslag voor een publieke taak of verplichting is derhalve niet steeds ook de wettelijke grondslag voor de gegevensverwerking gegeven. Dat is slechts het geval indien er sprake is van een voldoende precieze wettelijke grondslag. Paragraaf 4.2.2 van de toelichting is op dit punt aangevuld, met een verwijzing naar de door de Afdeling advisering genoemde nationale jurisprudentie.

De nuancering die op advies van de Afdeling advisering in de toelichting is opgenomen, vloeit niet voort uit de AVG, maar uit de bestaande jurisprudentie op grond van artikel 8 EVRM. De AVG brengt daarin geen verandering en noopt naar ons oordeel dan ook niet tot aanpassing van bestaande sectorale wetgeving waarin geen specifieke grondslag is opgenomen voor verwerkingen van persoonsgegevens als bedoeld in artikel 6, eerste lid, onderdelen c en e, AVG. Bij het creëren van nieuwe wettelijke grondslagen zal vanzelfsprekend ook met de uit de jurisprudentie voortvloeiende eis rekening worden gehouden.

c. Verstrekking aan andere bestuursorganen

Het gegeven dat artikel 6, eerste lid, onderdeel e, AVG geen grondslag biedt voor een derde om gegevens te verstrekken aan een bestuursorgaan voor de uitoefening van een publieke taak, is helder. Een ieder dient een rechtmatige grondslag te hebben om de gegevens te kunnen verwerken, zoals bijvoorbeeld een wettelijke verplichting om die gegevens te verstrekken aan een bepaald bestuursorgaan of toestemming van de betrokkene.

d. Verdere verwerking van gegevens

De Afdeling advisering merkt op dat artikel 6, vierde lid, AVG op twee manieren kan worden uitgelegd. Enerzijds kan deze bepaling volgens de Afdeling advisering zo worden gelezen dat in het geval door de overheid ter uitvoering van een publieke taak gegevens worden verwerkt voor een ander doel dan het oorspronkelijke doel, er altijd een specifieke wettelijke grondslag nodig is, ook als dat andere doel verenigbaar is met het oorspronkelijke doel. Anderzijds kan volgens de Afdeling advisering deze bepaling zo worden uitgelegd als dat in de memorie van toelichting is gedaan, namelijk dat de daarin opgenomen criteria voor verenigbare verdere verwerking alleen niet relevant zijn in het geval er een specifieke wettelijke grondslag voor verdere verwerking is gecreëerd. In gevallen waarin die specifieke wettelijke grondslag er niet is, is artikel 6, vierde lid, volgens deze interpretatie ook van toepassing op verwerking door de overheid en zal de overheid als verantwoordelijke aan de hand van de criteria voor verenigbare verdere verwerking van artikel 6, vierde lid, AVG moeten beoordelen of verdere verwerking toegestaan is. De Afdeling advisering acht deze laatste interpretatie beter verdedigbaar dan de eerste.

Wij delen de opvatting dat de laatste interpretatie beter verdedigbaar is, maar zouden daaraan toe willen voegen dat artikel 6, vierde lid, AVG naar onze mening ook weinig aanleiding geeft om aan te nemen dat de eerste interpretatie de juiste zou zijn. Immers, noch uit de tekst van artikel 6, vierde lid, AVG noch uit de overwegingen valt af te leiden dat de criteria aan de hand waarvan de verwerkingsverantwoordelijke kan bepalen of het andere doel waarvoor hij de gegevens wil verwerken verenigbaar is met het oorspronkelijke doel, niet zouden gelden voor overheidsinstanties. Dit is in de toelichting verduidelijkt in paragraaf 4.2.3.

7. Verwerking van bijzondere persoonsgegevens

a. Inleiding

Evenals Richtlijn 95/46/EG bevat de AVG, in aanvulling op de algemene beginselen van gegevensverwerking, specifieke bepalingen voor de verwerking van bijzondere gegevens. Dit zijn gegevens die vanwege hun gevoelige aard extra bescherming verdienen.100 De in de AVG neergelegde systematiek is dat verwerking van bijzondere gegevens verboden is, tenzij de verwerking kan worden gebaseerd op een van de door de AVG toegestane uitzonderingen.

In de Uitvoeringswet is in sommige gevallen waarin dat is toegestaan gebruik gemaakt van de ruimte die de AVG aan de nationale wetgever biedt om uitzonderingen te maken op het verbod om bijzondere persoonsgegevens te verwerken. De keuze van de regering voor een beleidsneutrale invulling van de ruimte die de AVG laat voor nationaal recht heeft er toe geleid dat de huidige bepalingen in de Wbp over de verwerking van bijzondere persoonsgegevens voor een groot deel zijn overgenomen in de Uitvoeringswet.

De Afdeling merkt over dit onderdeel van het wetsvoorstel het volgende op.

b. Uitzondering zwaarwegend algemeen belang – ontheffing Autoriteit

Artikel 9, tweede lid, onderdeel g, van de AVG, bepaalt dat het verbod op de verwerking van bijzondere persoonsgegevens niet van toepassing is als, kort gezegd, de verwerking «noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van lidstatelijk recht».101 Dit is vanwege haar open formulering een belangrijke bepaling. Indien een van de specifieke uitzonderingen van artikel 9, tweede lid, AVG niet van toepassing is, zal de vraag kunnen rijzen of er een ander «zwaarwegend algemeen belang» is dat de verwerking van bijzondere gegevens op grond van artikel 9, tweede lid, onderdeel g, kan rechtvaardigen.

c. Uitzondering overschrijfverbod rechtstreeks toepasselijke onderdelen

Artikel 9 van de AVG over bijzondere persoonsgegevens heeft een hybride karakter: bepaalde onderdelen zijn rechtstreeks toepasselijk (waaronder het verbod om bijzondere persoonsgegevens te verwerken),107 terwijl andere onderdelen ruimte laten aan de nationale wetgever.108 Deze ruimte bestaat daarin dat in sommige gevallen bij lidstatelijk recht uitzonderingen kunnen worden bepaald op het verbod van verwerking van bijzondere persoonsgegevens.109

Omdat een verordening rechtstreeks toepasselijk is in de Nederlandse rechtsorde en het verboden is om bepalingen ervan in het nationale recht over te nemen (het zogenoemde «overschrijfverbod"110), zijn de rechtstreeks toepasselijke bepalingen van artikel 9 AVG niet in de Uitvoeringswet overgenomen. In de Uitvoeringswet is echter wel, zoals hiervoor opgemerkt, gebruik gemaakt van de ruimte die artikel 9 AVG biedt voor uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dit leidt ertoe dat de rechtstreeks toepasselijke bepalingen (zoals het verbod om die gegevens te verwerken en een aantal uitzonderingen op dat verbod) alleen in de AVG staan, terwijl andere niet rechtstreeks toepasselijke uitzonderingen in de Uitvoeringswet staan.111

Met de regering hecht de Afdeling in algemene zin aan het overschrijfverbod van rechtstreeks toepasselijke bepalingen van verordeningen. Echter, in dit bijzondere geval acht de Afdeling een uitzondering op het overschrijfverbod aangewezen omwille van de samenhang en begrijpelijkheid van de bepalingen in de Uitvoeringswet omtrent bijzondere persoonsgegevens. Zoals ook hierboven in punt 1c vermeld, gaat het hier om een verordening met richtlijn-achtige kenmerken. Vanwege het hybride karakter staat overweging 8112 bij de AVG expliciet toe dat lidstaten elementen van de verordening in hun recht opnemen «om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn».113 Hierdoor biedt de AVG met het oog op de samenhang en begrijpelijkheid een uitdrukkelijke basis voor een uitzondering op het overschrijfverbod.

De Afdeling wijst er op dat de onderdelen van artikel 9 AVG (het verbod om bijzondere persoonsgegevens te verwerken en de uitzonderingen op dat verbod) onderling zeer nauw met elkaar samenhangen: als de ene uitzondering niet van toepassing is op een bepaalde verwerking, dan kan wellicht een beroep worden gedaan op een andere uitzondering. Het uit elkaar trekken van de uitzonderingen in enerzijds de AVG en anderzijds de Uitvoeringswet, doet afbreuk aan de samenhang, begrijpelijkheid en het verkrijgen van een volledig en juist beeld van het regime van de bijzondere persoonsgegevens. Gelet op overweging 8 van de AVG en het grote belang van deze bepalingen voor burgers en verwerkingsverantwoordelijken, acht de Afdeling daarom in dit bijzondere geval van artikel 9 AVG een uitzondering op het overschrijfverbod aangewezen, in die zin dat rechtstreeks toepasselijke elementen in de Uitvoeringswet zouden moeten worden overgenomen.

De Afdeling adviseert het wetsvoorstel in het licht van het voorgaande aan te passen.114

d. Motivering in de toelichting

De toelichting op de artikelen over de verwerking van bijzondere persoonsgegevens is zeer summier. Er wordt niet of nauwelijks ingegaan op de afweging van het belang van de verwerking van de gegevens enerzijds en het belang van de bescherming van de persoonlijke levenssfeer van betrokkenen anderzijds. In het algemene deel van de toelichting wordt slechts vermeld dat vanwege het uitgangspunt van de beleidsneutraliteit nauw is aangesloten bij de bestaande uitzonderingen in de Wbp. Die uitzonderingen zijn om zwaarwegende maatschappelijke belangen opgenomen in de Wbp, aldus de toelichting.115 In reactie op het advies van de Autoriteit om onderdelen van de oorspronkelijke toelichting op te nemen, wordt vermeld dat de memorie van toelichting zo veel mogelijk moet worden toegesneden op hetgeen onder het wetsvoorstel verandert. Bovendien is de oorspronkelijke memorie van toelichting nog steeds raadpleegbaar voor wie er belang bij heeft, aldus de toelichting.116

De Afdeling merkt op dat een toelichting bij een wetsvoorstel toegankelijk en zelfstandig leesbaar moet zijn en een deugdelijke motivering moet bevatten voor alle relevante artikelen. Dit geldt ook in het onderhavige geval waar het gaat om een beleidsneutrale implementatie. Bovendien gaat het hier om een geheel nieuwe wet ter uitvoering van de AVG, en niet om een wijziging van de Wbp. Een deugdelijke en geactualiseerde toelichting is te meer van belang omdat het hier gaat om een bijzondere categorie persoonsgegevens die naar hun aard (zeer) gevoelig zijn en die op grond van de AVG onderworpen worden aan een verzwaard regime. Het is voor de uitvoeringspraktijk van belang dat de betreffende bepalingen op adequate wijze worden toegelicht.

De Afdeling adviseert de artikelen over bijzondere persoonsgegevens te voorzien van deugdelijke toelichting.

7. Verwerking van bijzondere persoonsgegevens

a. Inleiding

De Afdeling advisering constateert terecht dat de in de AVG neergelegde systematiek inhoudt dat de verwerking van bijzondere categorieën persoonsgegevens verboden is tenzij deze verwerking kan worden gebaseerd op een door de AVG of de nationale wet toegestane uitzondering. De gekozen systematiek maakt dat aan het tijdig implementeren van de AVG door middel van de Uitvoeringswet een aanzienlijk groter belang moet worden gehecht dan in een «gemiddeld» implementatie wetgevingstraject. Als immers op de datum waarop de AVG van rechtswege van kracht wordt (25 mei 2018) de Uitvoeringswet niet eveneens in werking treedt, dan zijn vanaf dat moment heel veel verwerkingen die op grond van de huidige Wbp zijn toegestaan, verboden.

b. Uitzondering zwaarwegend algemeen belang – ontheffing Autoriteit

Op advies van de Afdeling advisering is besloten om bij nader inzien de huidige mogelijkheid voor de Autoriteit persoonsgegevens om een ontheffing te verlenen op grond artikel 23, eerste lid onderdeel f, van de huidige Wbp niet in de Uitvoeringswet te continueren. Terecht stelt de Afdeling advisering dat – zo de AVG al ruimte laat voor deze constructie – van deze bevoegdheid alleen in zeer uitzonderlijke gevallen gebruik mag worden gemaakt, te weten gedurende de periode die nodig is om de totstandkoming van een wettelijke grondslag te bewerkstelligen. Ook nu al geldt een dergelijke beperking op grond van het staande, zeer terughoudende, ontheffingsbeleid van de Autoriteit persoonsgegevens. Deze bevoegdheid is dan ook in het uiteindelijke wetsvoorstel komen te vervallen mede om te voorkomen dat de verkeerde indruk zou worden gewekt als ware hier sprake van een reële mogelijkheid om alsnog bijzondere categorieën persoonsgegevens te verwerken daar waar in de praktijk een ontheffingsverzoek eigenlijk nooit gehonoreerd zal worden.

c. Uitzondering overschrijfverbod rechtstreeks toepasselijke onderdelen

Het advies van de Afdeling advisering om in dit bijzondere geval af te wijken van het overschrijfverbod en de rechtstreeks toepasselijke elementen van artikel 9 AVG over te nemen in de Uitvoeringswet, is overgenomen. Daarbij is tevens de systematiek van paragraaf 3.1 van de Uitvoeringswet aangepast, waardoor zij beter aansluit bij de volgorde en systematiek van artikel 9 AVG. Paragraaf 3.1 (de artikelen 22 tot en met 30) is nu als volgt opgebouwd:

• a. In artikel 22, eerste lid, is de hoofdregel van artikel 9, eerste lid, AVG overgenomen: het verwerken van bijzondere categorieën van persoonsgegevens is verboden. In artikel 22, tweede lid, zijn de rechtstreeks toepasselijke uitzonderingen op het verwerkingsverbod overgenomen (overeenkomstig artikel 9, tweede lid, onderdelen a, c, d, e en f, AVG).

• b. De artikelen 23 en 24 bevatten de algemene uitzonderingen die op alle bijzondere categorieën van persoonsgegevens van toepassing zijn. Deze bepalingen zijn een uitwerking van de niet rechtstreeks toepasselijke uitzonderingen, bedoeld in artikel 9, tweede lid, onderdelen g en j, AVG (zwaarwegend algemeen belang, onderscheidenlijk wetenschappelijk en historisch onderzoek en statistische doeleinden).

• c. De artikelen 25 tot en met 30 bevatten de specifieke uitzonderingen per categorie van persoonsgegevens als bedoeld in artikel 9, eerste lid, AVG en artikel 22, eerste lid, van de Uitvoeringswet, in de volgorde waarin die categorieën aldaar worden genoemd. Telkens wordt verwezen naar het van toepassing zijnde artikelonderdeel van de AVG waarop de uitzondering is gebaseerd.

d. Motivering in de toelichting

Terecht stelt de Afdeling advisering dat een toelichting bij een wetsvoorstel toegankelijk en zelfstandig leesbaar moet zijn. Daar waar nodig is, conform het advies van de Afdeling advisering, de artikelsgewijze toelichting aangevuld om aan deze voorwaarde te voldoen. Dit geldt in het bijzonder voor die artikelen die betrekking hebben op de verwerking van bijzondere categorieën van persoonsgegevens (de artikelen 22 tot en met 30).

8. Geautomatiseerde besluitvorming

a. Inleiding

Artikel 22, eerste lid, AVG bevat een recht van burgers om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Onder geautomatiseerde verwerking valt ook (maar niet uitsluitend) profilering. Onder profilering wordt op grond van artikel 4 AVG gedoeld op geautomatiseerde verwerkingen van persoonsgegevens op grond waarvan een profiel van bepaalde personen wordt opgesteld. Op grond van dergelijke profielen kunnen analyses worden gemaakt van of voorspellingen worden gedaan over iemands gedrag, persoonlijke voorkeuren, gezondheid of beroepsprestaties. De bedoeling van het verbod ex artikel 22, eerste lid, om alleen op basis van dergelijke geautomatiseerde verwerkingen besluiten te nemen, is te voorkomen dat de negatieve kenmerken van een bepaalde groep worden tegengeworpen aan een individu, die deze kenmerken helemaal niet hoeft te hebben. De zorgvuldigheid vereist in de regel dat geen besluit wordt genomen zonder menselijke tussenkomst.117

Artikel 22, tweede lid, AVG bevat een aantal gronden op basis waarvan mag worden afgeweken van het verbod van het eerste lid. Zo kan op grond van een «lidstaatrechtelijke bepaling» die voorziet in passende maatregelen ter bescherming van de rechten en gerechtvaardigde belangen van de betrokkene, een uitzondering worden gecreëerd. Artikel 37 Uitvoeringswet vult deze mogelijkheid in door een algemene uitzondering te regelen voor het verbod op geautomatiseerde besluitvorming, anders dan op basis van profilering. Op de uitzondering kan een beroep worden gedaan indien dat noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of voor de vervulling van een taak van algemeen belang.118 Grosso modo wordt daarmee de bestaande afwijkingsmogelijkheid van artikel 42 Wbp gecontinueerd.

De reden voor deze afwijking is blijkens de toelichting gelegen in het feit dat er volgens de regering niet in alle gevallen van geautomatiseerde besluitvorming sprake is van het tegenwerpen van generieke kenmerken aan een persoon, of van verwerkingen van persoonsgegevens die risicovol zijn in het licht van potentiele discriminatie. Indien er sprake is van geautomatiseerde individuele besluitvorming op basis van strikt individuele kenmerken, bijvoorbeeld bij gebonden besluitvorming in het kader van het toekennen van bepaalde toeslagen, is er geen reden om menselijke tussenkomst te vergen. Deze tussenkomst heeft in dat geval geen enkele toegevoegde waarde, aldus de toelichting. Bovendien geldt voor alle overheidsbesluiten, ook voor besluiten op basis van geautomatiseerde besluitvorming, dat de gebruikelijke bestuursrechtelijke rechtsbescherming openstaat.119

De Afdeling merkt over artikel 37 het volgende op.

b. Algemene grondslag toereikend?

Aan artikel 37 Uitvoeringswet ligt de gedachte ten grondslag dat in veel gevallen waarin besluiten geautomatiseerd worden genomen zich niet de risico’s voordoen waartegen artikel 22 AVG burgers beoogt te beschermen. In bepaalde situaties is dat inderdaad juist. Algemeen aanvaard is bijvoorbeeld dat in geval van overtreding van de maximumsnelheid automatisch een boete wordt opgelegd. De vraag is echter of dergelijke voorbeelden een generieke uitzondering zoals nu wordt voorgesteld, rechtvaardigen. In een geautomatiseerd besluitvormingsproces geldt dat bepaalde persoonlijke omstandigheden doorgaans niet meegewogen zullen worden. De aan die besluitvorming inherente automatismen kunnen onder omstandigheden leiden tot disproportionele gevolgen. De Afdeling wijst bijvoorbeeld op de automatische boetes voor onverzekerde voertuigen120 en de onmogelijkheid die in dergelijke gevallen vaak bestaat om fouten met terugwerkende kracht terug te draaien. In die gevallen kunnen geautomatiseerde besluiten, anders dan de regering lijkt te veronderstellen, onbillijk uitvallen voor betrokkenen. Deze gevolgen kunnen niet worden gerechtvaardigd met het argument dat bestuursrechtelijke rechtsbescherming openstaat. Naar het oordeel van de Afdeling kan een redelijke en zorgvuldige besluitvorming niet afhankelijk gemaakt worden van het al dan niet instellen van bezwaar of beroep.121

De vraag rijst daarom of niet een genuanceerdere aanpak geboden is door per wettelijke regeling af te wegen of geautomatiseerde besluitvorming in de specifieke situatie gerechtvaardigd is. Dit lijkt ook door artikel 22, tweede lid, onderdeel b, AVG te zijn beoogd. Deze bepaling regelt dat een afwijking alleen is toegestaan «bij een (...) lidstaatrechtelijke bepaling» die voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van betrokkene. Deze formulering duidt op een specifieke wettelijke grondslag. Bovendien voorziet artikel 37 Uitvoeringswet vanwege zijn generieke karakter niet zelf in passende maatregelen maar laat dit geheel over aan de verwerkingsverantwoordelijke. Dit lijkt niet wat artikel 22 AVG beoogt en legt bovendien een zware last op de verwerkingsverantwoordelijke om op grond van de generieke norm van artikel 37 een afweging te maken.

De Afdeling adviseert nader te motiveren waarom er niet voor gekozen is specifieke uitzonderingen op het verbod op geautomatiseerde besluitvorming, waar dat noodzakelijk is, op te nemen in sectorale wetgeving.

8. Geautomatiseerde besluitvorming

a. Inleiding

Volgens artikel 22 AVG heeft de betrokkene het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking (waaronder profilering) gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

b. Algemene grondslag toereikend?

Om tegemoet te komen aan de kritiek van de Afdeling advisering dat er op grond van de formulering van artikel 22 AVG sprake zou moeten zijn van waarborgen die zijn vervat in een wettelijke bepaling en dat het treffen van de nodige waarborgen niet geheel kan worden overgelaten aan de verwerkingsverantwoordelijke, is aan artikel 40 Uitvoeringswet (voorheen artikel 37) een derde lid toegevoegd. In dat derde lid wordt invulling gegeven aan de maatregelen die de verwerkingsverantwoordelijke, op grond van het tweede lid, dient te treffen ter bescherming van het gerechtvaardigd belang van de betrokkene. Het voorgestelde derde lid bepaalt dat verwerkingsverantwoordelijken, die geen bestuursorgaan zijn, in ieder geval hebben voldaan aan die eis dat zij dergelijke «passende maatregelen» moeten treffen als ze het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten, hebben geborgd. Deze waarborgen zijn ontleend aan het direct werkende van artikel 22, derde lid, AVG in combinatie met artikel 42, derde lid, Wbp (dat bepaalt dat een passende maatregel is getroffen als betrokkenen in de gelegenheid wordt gesteld om omtrent het besluit zijn zienswijze naar voren te brengen).

Voor zover het gaat om besluitvorming door een bestuursorgaan dan gelden uiteraard de gebruikelijke en zeer vergelijkbare bestuursrechtelijke waarborgen zoals neergelegd in de Awb, waaronder het zorgvuldigheids- en evenredigheidsbeginsel, en kan betrokkene, zij het achteraf, ook altijd tegen een besluit opkomen. De Afdeling advisering merkt hierover op dat de redelijkheid en zorgvuldigheid van besluitvorming niet afhankelijk mag worden gemaakt van het al dan niet instellen van bezwaar of beroep. In algemene zin onderschrijven we deze stelling maar, zolang er geen sprake is van profilering, is hiervan bij geautomatiseerde besluitvorming zonder menselijke tussenkomst ook geen sprake, althans hoeft daar geen sprake van te zijn. De zorgvuldigheid en de redelijkheid van de besluitvorming is bij geautomatiseerde besluitvorming evenzeer afhankelijk van de inrichting van het proces en de regels die ten grondslag liggen aan het nemen van het besluit (bij geautomatiseerde besluitvorming: de onderliggende algoritmes) als bij niet-geautomatiseerde besluitvorming. Met de Afdeling advisering zijn wij van mening dat er zich in het verleden situaties hebben voorgedaan waarbij aan gebonden besluitvorming grote (disproportionele) gevolgen verbonden werden. Zonder iets te willen afdoen aan de onwenselijkheid van de door de Afdeling advisering gememoreerde situaties, is het van belang te constateren dat de oorzaak hiervan echter niet (per se) lag bij het geautomatiseerde karakter van de besluitvorming; ook beslismedewerkers kunnen zodanig gebonden zijn aan wetgeving en beleidsregels dat zij geen of onvoldoende rekening kunnen houden met de concrete omstandigheden van het geval.

Kortom, de voorgestelde mogelijkheid om af te wijken van het bepaalde in artikel 22 AVG doet niets af aan de beginselen en normen omtrent een zorgvuldige besluitvorming zoals die gelden op grond van de Awb en ontslaat een bestuursorgaan dan ook geenszins van de plicht om bij de inrichting van een geautomatiseerd proces grote zorgvuldigheid te betrachten. Dit onder meer door alle mogelijke scenario’s vooraf in kaart te brengen en waar nodig menselijke tussenkomst te borgen en hoe dan ook een nood(rem)voorziening te treffen voor onvoorziene gevallen waarin menselijke tussenkomst onverwacht toch nodig blijkt om de disproportionele gevolgen waar de Afdeling advisering op doelt te voorkomen. Het recent door de ministerraad voor de rijksoverheid vastgestelde model gegevensbeschermingseffectbeoordeling122 kan hierbij een uiterst nuttige functie vervullen.

Dit is ook precies de reden dat het wetsvoorstel het niet mogelijk maakt om als er sprake is van profilering af te wijken van artikel 22 AVG. Als de routineuze geautomatiseerde besluitvorming immers niet is gebaseerd op objectief vastgestelde criteria maar op statistische patronen en profielen dan is het onmogelijk om in een algemene wettelijke regeling als de onderhavige het besluitvormingsproces zodanig zorgvuldig in te richten dat de menselijke tussenkomst kan worden gemist.

In het feit dat een verantwoordelijke alleen een beroep kan doen op deze uitzondering als dit noodzakelijk is om te voldoen aan een op hem rustende wettelijke verplichting of voor de vervulling van een taak van algemeen belang, ligt tot slot in wezen ook een beperking besloten ter waarborging van de belangen van de betrokkene. De memorie van toelichting gaat op al het voorgaande nader in alsmede op de waarborgen die in de systematiek van de AVG zelf liggen besloten.

Dat de formulering van artikel 22, tweede lid, onderdeel b, AVG duidt op de noodzaak om voor alle daarin bedoelde vormen van geautomatiseerde besluitvorming te voorzien in een specifiek wettelijke grondslag, onderschrijven wij tot slot echter niet. Dat neemt niet weg dat het creëren van een specifieke grondslag in een sectorale wet in sommige situaties wel mogelijk is en wenselijk kan zijn. Dat zal in ieder geval noodzakelijk zijn als men in de toekomst geautomatiseerde besluitvorming op basis van profilering mogelijk zou willen maken. Bij het nadenken over de wijze waarop in de toekomst wettelijke taken van algemeen belang en wettelijke verplichtingen zullen worden vormgegeven, zal dit aspect zeker een rol spelen. Indien bij de uitvoering van een dergelijke taak respectievelijk bij het voldoen aan een dergelijke verplichting noodzakelijkerwijs gebruik zal worden gemaakt van geautomatiseerde besluitvorming en dit op voorhand ook al duidelijk is, dan zal het nadenken over de waarborgen van de belangen van betrokkenen vanzelfsprekend onderdeel van het besluitvormings- en wetgevingsproces dienen uit te maken.

9. Beperkingen

Een cruciale bepaling in de AVG is artikel 23. Op grond van het eerste lid van dit artikel zijn beperkingen mogelijk op de in dat artikel genoemde beginselen en rechten van de betrokkene indien dit noodzakelijk is met het oog op de daarin genoemde algemene belangen. Deze beperkingen moeten zijn vastgelegd in Unierechtelijke of lidstaatrechtelijke bepalingen. Het artikel is een voortzetting van artikel 13 Richtlijn 95/46/EG. Nieuw ten opzichte van Richtlijn 95/46/EG is echter artikel 23, tweede lid, AVG. Hierin wordt bepaald dat de in het eerste lid bedoelde wettelijke maatregelen «met name specifieke bepalingen» moeten bevatten met betrekking tot ten minste de in dat lid opgesomde onderwerpen. Artikel 23 AVG is als gevolg hiervan complexer dan het huidige artikel 13 Richtlijn 95/46/EG. De regering merkt terecht op dat artikel 23, tweede lid, lijkt te indiceren dat op voorhand in specifieke wettelijke voorschriften nauwkeurige grenzen te stellen zijn waarin de in het eerste lid slechts in algemene termen benoemde gevallen zich voordoen. Hiermee is een zekere spanning tussen beide artikelleden gegeven, aldus de toelichting.123

Ter uitvoering van artikel 23 AVG is in het voorgestelde artikel 38 Uitvoeringswet, in lijn met het huidige artikel 43 Wbp, een algemene bepaling opgenomen op grond waarvan de verwerkingsverantwoordelijke zelf een belangenafweging moet maken. De beoordeling of een beperking noodzakelijk is als bedoeld in artikel 23, eerste lid, AVG wordt daarmee geheel aan de verwerkingsverantwoordelijke gelaten. De toelichting wijst er terecht op dat kenmerkend voor de in artikel 23, eerste lid, AVG genoemde belangen is dat in hoge mate onvoorzienbaar is wanneer zij moeten leiden tot een beperking van de rechten van betrokkene. De regering heeft ervoor gekozen de specifieke vereisten die artikel 23, tweede lid, AVG noemt, niet nader te regelen in specifieke wettelijke voorschriften maar deze vereisten via het voorgestelde artikel 38, tweede lid, Uitvoeringswet op te nemen als verplichte afwegingscriteria voor de verwerkingsverantwoordelijke bij de toepassing van het eerste lid. Ook in dat opzicht wordt aangesloten bij artikel 43 van de Wbp.124

In het licht van het bovenstaande acht de Afdeling de in artikel 38 Uitvoeringswet gemaakte keuze in de toelichting toereikend gemotiveerd. Daarbij is van belang dat in de toelichting wordt onderstreept dat op grond van deze bepaling, evenals onder het huidige artikel 43 Wbp, een strikt noodzakelijkheidscriterium geldt.125 Dit impliceert dat artikel 38 alleen een mogelijkheid biedt om in individuele zaken van de in de AVG geregelde rechten en beginselen af te wijken. Een categorische beperking van de rechten van de betrokkene kan, wanneer dit noodzakelijk is in een democratische samenleving, eventueel in sectorspecifieke wetgeving worden opgenomen, zo stelt de toelichting. Daarmee maakt de toelichting voldoende duidelijk artikel 38 geen grondslag biedt voor structurele, categorische beperkingen.

De toelichting maakt naar het oordeel van de Afdeling echter niet duidelijk waarom de beperkingsmogelijkheid van artikel 38 moet zien op alle in artikel 23, eerste lid, genoemde artikelen van de AVG. In het bijzonder waar het de mogelijkheid tot beperking van de uit artikel 22 AVG voortvloeiende rechten en verplichtingen betreft, is deze onvoldoende gemotiveerd. Geautomatiseerde besluitvorming, zeker als deze is gebaseerd op profilering, kan ingrijpende gevolgen hebben voor betrokkenen. Een geautomatiseerd besluit verdraagt zich bovendien slecht met de vereiste individuele afweging die van de verwerkingsverantwoordelijke wordt gevraagd bij de beperking van rechten en verplichtingen op grond van artikel 38 Uitvoeringswet.

De Afdeling adviseert de verwijzing naar artikel 22 AVG uit artikel 38 Uitvoeringswet te schrappen.

9. Beperkingen

Het is verheugend te constateren dat de Afdeling advisering de gemaakte keuze in artikel 38 Uitvoeringswet (thans: artikel 41) onderschrijft en ook toereikend gemotiveerd acht. Ook in de artikelsgewijze toelichting is nogmaals onderstreept dat het strikte noodzakelijkheidscriterium zoals dat nu geldt op grond van artikel 43 Wbp onverkort van toepassing blijft en dat artikel 41 Uitvoeringswet geen ruimte biedt voor structurele, categorische beperkingen van rechten van betrokkenen.

Het advies van de Afdeling advisering om de verwijzing naar artikel 22 AVG uit artikel 41 Uitvoeringswet te schrappen, is met het oog op het voorgaande dan ook overgenomen. De toelichting op artikel 41 is aangevuld met het door de Afdeling advisering terecht opgemerkte feit dat geautomatiseerde besluitvorming zich naar zijn aard slecht verdraagt met de vangnetfunctie die artikel 41 dient te vervullen: alleen in uitzonderlijke situaties en na een individuele belangenafweging is een beroep op dit artikel mogelijk.

10. Overige opmerkingen

a. Boetebevoegdheden: geen voorafgaande bindende aanwijzing

Op grond van de huidige Wbp is de Autoriteit verplicht om voorafgaand aan de oplegging van een bestuurlijke boete de verantwoordelijke een bindende aanwijzing te geven. De achtergrond hiervan is dat vanwege de onbepaaldheid van de normstelling in de Wbp verantwoordelijken niet altijd zullen en hoeven te weten dat zij in overtreding zijn. Daarom is met het oog op de waarborging van behoorlijk bestuur in de wet bepaald dat de Autoriteit bij een vermoeden van overtreding niet onmiddellijk een bestuurlijke boete kan opleggen maar eerst door middel van een aanwijzing moet aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht. Daarbij kan de Autoriteit een termijn stellen waarin de aanwijzing moet worden opgevolgd.126

In de Uitvoeringswet keert deze verplichting niet terug. In de AVG is wel de bevoegdheid opgenomen voor de Autoriteit om te gelasten dat de verwerking in overeenstemming wordt gebracht met de AVG.127 Onder die last zou ook een bindende aanwijzing verstaan kunnen worden die zo nodig aan de oplegging van een bestuurlijke boete vooraf kan gaan. Verschil is wel dat het op grond van de AVG niet langer verplicht is eerst een aanwijzing te geven.

De regering gaat hierop in de toelichting niet in. Daarmee blijft de vraag onbeantwoord of de AVG ruimte biedt voor handhaving van de bestaande verplichting. De Autoriteit gaat er blijkens haar advies van uit dat dat, gezien de systematiek van de artikelen 83 en 58, zesde lid, van de AVG, in samenhang gelezen, niet het geval is.128 De Afdeling wijst echter op artikel 83, achtste lid, AVG, waarin is bepaald dat de uitoefening door de toezichthoudende autoriteit van de boetebevoegdheid onderworpen is aan passende procedurele waarborgen overeenkomstig het Unierecht en het lidstatelijk recht. De verplichte bindende aanwijzing voorafgaand aan de oplegging van een boete zou als een dergelijke procedurele waarborg gezien kunnen worden.

De Afdeling adviseert toereikend te motiveren waarom voor de verplichte voorafgaande bindende aanwijzing voor boeteoplegging binnen de systematiek van de AVG geen ruimte is. Indien een dergelijke motivering niet mogelijk is, adviseert zij de verplichting in de Uitvoeringswet op te nemen.

b. Beroepsmogelijkheden van de Autoriteit tegen besluiten van het Comité

De overwegingen bij de AVG wijzen op de mogelijkheid dat iedere natuurlijke persoon of rechtspersoon het recht heeft om bij het Hof van Justitie een beroep tot nietigverklaring in te stellen tegen een besluit van het Comité, op grond van artikel 263 van het VWEU.129 Wanneer de besluiten van het Comité een verwerkingsverantwoordelijke of een klager rechtstreeks en individueel raken, kunnen deze laatsten een beroep tot nietigverklaring van deze besluiten instellen binnen twee maanden vanaf de publicatie ervan op de website van het Comité. Er wordt ook vermeld dat de betrokken toezichthoudende autoriteiten die wensen op te komen tegen deze besluiten, binnen twee maanden na kennisgeving ervan beroep kunnen instellen.

In haar consultatiereactie geeft de Autoriteit aan dat voor haar in de Uitvoeringswet geen rechtspersoonlijkheid is voorzien, zodat zij niet in de categorieën natuurlijke en rechtspersonen van artikel 263 valt. In reactie op deze consultatieopmerking heeft de regering volstaan met een verwijzing naar de recente aanpassing van de Wbp naar aanleiding van het arrest Schrems.130 Dat ziet echter op een andere categorie van besluiten en een andere context. De enkele verwijzing in de toelichting naar het in voorbereiding zijnde wetsvoorstel dat de implementatie van het Schrems-arrest regelt, is derhalve niet toereikend.

De Afdeling adviseert in de toelichting op het bovenstaande nader in te gaan.

c. Benoeming en ontslag leden Autoriteit

Op grond van de Uitvoeringswet worden de voorzitter en de leden van de Autoriteit bij koninklijk besluit, op voordracht van de Minister, benoemd.131 Daarbij is bepaald dat leden op eigen verzoek door de Minister worden ontslagen.132 In het voorstel is dit niet geregeld voor de voorzitter, anders dan in het bestaande artikel 53, derde lid, Wbp. Zonder nadere toelichting is niet duidelijk waarom deze mogelijkheid niet voor de voorzitter is opgenomen. De Afdeling adviseert dit nader toe te lichten en zo nodig het voorstel aan te passen.

d. Aanvullende taken van de Autoriteit

Naast de taken die uit de verordening voortvloeien, mogen op grond van de verordening ook andere taken worden toegekend.133 Artikel 6, derde lid, van de Uitvoeringswet geeft daarvoor een basis. In de artikelsgewijze toelichting wordt niet gemotiveerd met het oog op welke situaties deze bepaling is opgenomen. In het algemene deel van de toelichting staat dat in artikel 6, derde lid, de Autoriteit expliciet is aangewezen voor het toezicht op de toepassing van de Richtlijn gegevensbescherming opsporing en vervolging.134 Dat staat echter niet als zodanig in de bepaling. Bovendien zal dat naar mag worden aangenomen bij de wet ter implementatie van de richtlijn worden bepaald.

De Afdeling adviseert artikel 6, derde lid, nader toe te lichten en zo nodig de bepaling aan te passen.

e. Reikwijdte adviesbevoegdheid bij wetgevingsinitiatieven

De AVG bepaalt dat de lidstaten de toezichthoudende autoriteit raadplegen bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel, of een daarop gebaseerde regelgevingsmaatregel in verband met verwerking.135

In de Uitvoeringswet is een bepaling opgenomen die regelt dat de Autoriteit om advies wordt gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur «die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens».136

Nu de verplichting ten aanzien van het raadplegen van de Autoriteit bij deze voorstellen tot regelgeving reeds in de AVG is opgenomen, is er geen ruimte om dit in de Uitvoeringswet te bepalen. De Afdeling adviseert deze bepaling te schrappen.

f. Definitie «bijzondere persoonsgegevens»

De definitie van «bijzondere persoonsgegevens» in de Uitvoeringswet wijkt af van die in de AVG. In de Uitvoeringswet worden onder «bijzondere persoonsgegevens» tevens aangemerkt persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten.137 De AVG heeft echter persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten niet onder de «bijzondere categorieën van persoonsgegevens» van artikel 9 gebracht, maar in een aparte bepaling (artikel 10 AVG).138

Dit verschil in definities leidt met name bij de uitzonderingsbepalingen van de artikelen 29 en 30 van de Uitvoeringswet tot onduidelijkheden. In die artikelen wordt gesproken van de term «bijzondere persoonsgegevens», dus volgens de definitie van de Uitvoeringswet inclusief persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Echter, in die artikelen wordt vervolgens alleen verwezen naar de uitzonderingsgronden van artikel 9 AVG. Onduidelijk is dan ook of de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten onder die uitzonderingen vallen.

Gelet op het voorgaande adviseert de Afdeling om de definitie van «bijzondere persoonsgegevens» in de Uitvoeringswet aan te laten sluiten bij de definitie in de AVG.

10. Overige opmerkingen

a. Boetebevoegdheden: geen voorafgaande bindende aanwijzing

Op grond van de huidige Wbp is de Autoriteit persoonsgegevens verplicht om voorafgaand aan de oplegging van een bestuurlijke boete de verantwoordelijke een bindende aanwijzing te geven (behalve indien er sprake is van opzet of van ernstig verwijtbare nalatigheid). Deze verplichting keert niet terug in de Uitvoeringswet. De Afdeling adviseert toereikend te motiveren waarom voor de verplichte voorafgaande bindende aanwijzing voor boeteoplegging binnen de systematiek van de AVG geen ruimte is.

Toezichthouders beschikken op grond van de AVG over een scala aan bevoegdheden om toezicht te houden op de naleving van de AVG en om zo nodig handhavend op te treden. Deze bevoegdheden vloeien voort uit de artikelen 58 en 83 AVG. Naar ons oordeel bieden de artikelen 83 en 58, zesde lid, in samenhang gelezen geen ruimte om de toezichthouder te verplichten tot het geven van een voorafgaande bindende aanwijzing voorafgaand aan het opleggen van een boete. Artikel 58, zesde lid, maakt het weliswaar mogelijk dat lidstaten bij wet bepalen dat hun toezichthoudende autoriteit bijkomende bevoegdheden krijgt maar niet dat deze aan bijkomende verplichtingen gebonden wordt. Een voorafgaande bindende aanwijzing heeft trekken van een aantal corrigerende maatregelen als bedoeld in artikel 58, tweede lid, AVG en die zijn expliciet geformuleerd als een bevoegdheid, niet een verplichting; onder omstandigheden zal een dergelijke aanwijzing bijvoorbeeld inhouden dat wordt gelast de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van de AVG in te willigen (artikel 58, tweede lid, sub c) of om verwerkingen binnen een bepaalde termijn in overeenstemming te brengen met de bepalingen van de AVG (artikel 58, tweede lid, sub d). Artikel 83, achtste lid, AVG biedt naar ons oordeel evenmin ruimte om de Autoriteit te verplichten tot het geven van een bindende aanwijzing voordat een boete mag worden opgelegd. Dit neemt echter niet weg dat wij menen dat het rauwelijks opleggen van bestuurlijke boetes door de toezichthouder in strijd kan komen met de beginselen van behoorlijk bestuur, hetgeen evenzeer betekent dat niet is voldaan aan artikel 83, achtste lid, AVG. Als er sprake is van open normen zal er van een toezichthoudend bestuursorgaan in beginsel worden gevraagd om helderheid te verschaffen over hetgeen van de ondertoezichtgestelden precies wordt verwacht in het specifieke geval voordat het opleggen van een punitieve sanctie aan de orde kan zijn. Het lex-certabeginsel staat aan punitief optreden dan al snel in de weg. Als het voor een verwerkingsverantwoordelijke in redelijkheid niet helder is wat van hem concreet wordt verwacht, zal het rauwelijks opleggen van een (hoge) bestuurlijke boete de rechterlijke toets niet kunnen doorstaan. Aan de andere kant kunnen er zich ook situaties voordoen waarbij de verwerkingsverantwoordelijke evident opzettelijk of grovelijk nalatig de verplichtingen, zoals deze op hem rusten, overtreedt en dan moet het mogelijk zijn om wel direct over te gaan tot het opleggen van een bestuurlijke boete.

b. Beroepsmogelijkheden van de Autoriteit tegen besluiten van het Comité

Op grond van artikel 65 AVG is het Comité bevoegd een beslissing te nemen in een geschil tussen een of meer toezichthoudende autoriteiten over de bevoegdheid tot het vaststellen van handhavingsbesluiten met grensoverschrijdende aspecten of over de voorgenomen handhavingsmaatregelen. Aangezien deze geschilbeslechting een bindend karakter heeft voor de desbetreffende autoriteiten en het Comité geen rechterlijk college, maar een Europees bestuursorgaan is, zijn deze besluiten vatbaar voor een vernietigingsberoep bij het Gerecht van de Europese Unie op voet van artikel 263 VWEU. Niet alleen voor verwerkingsverantwoordelijken of voor betrokkenen, maar uitdrukkelijk ook voor toezichthoudende autoriteiten. Overweging 143 van de AVG roept in herinnering dat de Europese wetgever daar bewust voor heeft gekozen. Daaruit vloeit voort dat deze wetgever beoogde de Autoriteit persoonsgegevens het recht toe te kennen om een dergelijk vernietigingsberoep tegen een besluit van het Comité in te stellen.

Die intentie van de Europese wetgever neemt echter niet weg dat een vernietigingsberoep wel moet voldoen aan de ontvankelijkheidseisen die artikel 263 VWEU stelt. Het primaire EU-recht prevaleert immers. In dat verband is de vraag gerezen of de Autoriteit persoonsgegevens wel voldoet aan de eisen van artikel 263 VWEU.

Allereerst is van belang vast te stellen dat artikel 263, tweede alinea, VWEU aan lidstaten de bevoegdheid toekent om de wettigheid van handelingen van de organen of instanties van de Unie waarmee rechtsgevolgen ten aanzien van derden worden beoogd door het Gerecht te laten nagaan. De lidstaat Nederland is daartoe dus steeds bevoegd. De Autoriteit persoonsgegevens kan in de context van het vernietigingsberoep niet zonder meer worden vereenzelvigd met de lidstaat Nederland. De Autoriteit persoonsgegevens is ingevolge artikel 51 AVG een zelfstandig bestuursorgaan met eigen taken en bevoegdheden en met een onafhankelijke positie. Uit de jurisprudentie van het Hof van Justitie van de EU blijkt voldoende duidelijk dat lidstaten, vertegenwoordigd door hun regeringen, een van andere entiteiten van die lidstaat onderscheiden verantwoordelijkheid hebben.139 Dat dit ook opgaat voor toezichthouders voor de gegevensbescherming is nauwelijks voor betwisting vatbaar. Uit de jurisprudentie van het Hof van Justitie van de EU blijkt immers dat deze positie «volkomen onafhankelijk» moet zijn140 en dit is ook vastgelegd in artikel 52, eerste lid, AVG. De toezichthouder moet een dergelijke positie hebben, omdat ook de lidstaat zelf, althans die verwerkingsverantwoordelijken van wie het optreden aan die lidstaat kan worden toegerekend, onder dit toezicht zijn gesteld. Dit fundamentele verschil in verantwoordelijkheden maakt het in ieder geval in theorie niet onmogelijk dat de lidstaat Nederland en de Autoriteit persoonsgegevens een verschillende opvatting over een bepaalde aangelegenheid kunnen hebben. Een procesbevoegdheid van de Autoriteit persoonsgegevens kan dan ook moeilijk op artikel 263, tweede alinea, VWEU worden gebaseerd.

Artikel 263, vierde alinea, VWEU kent het vernietigingsberoep toe aan natuurlijke en rechtspersonen tegen, onder meer, handelingen die tot hem zijn gericht of die hem rechtstreeks en individueel raken. Het is duidelijk dat de Autoriteit persoonsgegevens geen natuurlijke persoon is. Het is vervolgens de vraag of de Autoriteit persoonsgegevens kan worden aangemerkt als rechtspersoon in de zin van genoemde bepaling. Die vraag kan aan de hand van de jurisprudentie van het Hof van Justitie van EU nader worden beantwoord. In beginsel bepaalt het nationale recht of de appellant rechtspersoonlijkheid heeft.141 Het is duidelijk dat aan de Autoriteit persoonsgegevens noch krachtens artikel 2:1 van het Burgerlijk Wetboek, noch krachtens een bijzondere wet rechtspersoonlijkheid is toegekend. Het Hof van Justitie heeft evenwel in vele gevallen vernietigingsberoepen ontvankelijk geacht van territoriaal gedecentraliseerde lichamen waarvan onvoldoende duidelijk vaststond of daaraan krachtens lidstatelijk recht rechtspersoonlijkheid toekwam.142 Dat betrof onder meer het toenmalige land in het Koninkrijk de Nederlandse Antillen, waarop de regels van het Nederlandse Burgerlijk Wetboek inzake rechtspersoonlijkheid niet van toepassing waren, terwijl die rechtspersoonlijkheid ook niet geregeld was in enig wettelijk voorschrift van Nederlands-Antilliaans recht.143 De conclusie is dan ook gerechtvaardigd dat uit de jurisprudentie voortvloeit dat rechtspersoonlijkheid in de zin van artikel 263, vierde alinea, VWEU een zelfstandige Europeesrechtelijke betekenis heeft gekregen en niet zonder meer te vereenzelvigen is met rechtspersoonlijkheid in het nationale recht.144 Gelet op de duidelijke bedoeling van de Europese wetgever om een bijzonder vernietigingsberoep tegen besluiten van het Comité toe te kennen, behoeft het weinig twijfel dat het Gerecht niet zal overgaan tot niet-ontvankelijkheidsverklaring van een vernietigingsberoep van de Autoriteit persoonsgegevens op de enkele grond dat de Autoriteit persoonsgegevens niet zou voldoen aan het criterium rechtspersoonlijkheid in de zin van artikel 263, vierde alinea, VWEU. Er is dan ook in deze omstandigheid geen reden gelegen aan de Autoriteit persoonsgegevens rechtspersoonlijkheid toe te kennen.

c. Benoeming en ontslag leden Autoriteit

De voorzitter van de Autoriteit persoonsgegevens is tevens lid van de Autoriteit persoonsgegevens, hetgeen blijkt uit de formulering van artikel 7, eerste lid, Uitvoeringswet («een voorzitter en ten hoogste twee andere leden»). Om echter iedere verwarring te voorkomen is in artikel 7, zesde en zevende lid, van het wetsvoorstel dezelfde opsomming opgenomen als in het derde lid. Ook artikel 8 is hiertoe aangepast.

d. Aanvullende taken van de Autoriteit

De Afdeling advisering wijst hier op een fout die inmiddels is hersteld zowel in artikel 6 Uitvoeringswet als in de memorie van toelichting. In het wetsvoorstel ter implementatie van de Richtlijn gegevensbescherming opsporing en vervolging zal de Autoriteit persoonsgegevens inderdaad worden belast met het toezicht op de toepassing van die richtlijn.

e. Reikwijdte adviesbevoegdheid bij wetgevingsinitiatieven

Het advies van de Afdeling advisering is overgenomen met het schrappen van het artikel 15 Uitvoeringswet zoals dat aan de Afdeling advisering was voorgelegd.

f. Definitie «bijzondere persoonsgegevens»

Erkend moet worden dat het verruimen van de definitie van «bijzondere persoonsgegevens», waardoor anders dan in de AVG ook de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten werden aangemerkt als bijzondere persoonsgegevens, tot onduidelijkheden leidde. Wij hebben daarom het advies van de Afdeling advisering overgenomen. De terminologie van de Uitvoeringswet sluit nu aan bij de terminologie van de AVG. De bijzondere categorieën van persoonsgegevens worden gedefinieerd overeenkomstig artikel 9, eerste lid, AVG. De persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen als bedoeld in artikel 10 AVG – in de Uitvoeringswet gedefinieerd als «persoonsgegevens van strafrechtelijke aard» – vallen daar niet langer onder.

In de nieuwe opzet heeft paragraaf 3.1 van de Uitvoeringswet betrekking op de bijzondere categorieën van persoonsgegevens, terwijl paragraaf 3.2 betrekking heeft op de persoonsgegevens van strafrechtelijke aard.

11. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

Alle opmerkingen die zijn gemaakt in de redactionele bijlage bij het advies van de Afdeling advisering zijn, voor zover mogelijk, overgenomen.

Ter gelegenheid van het nader rapport zijn in zowel het wetsvoorstel als in de bijbehorende memorie van toelichting, zonder dat het advies van de Afdeling advisering hiertoe direct aanleiding gaf, wijzigingen aangebracht van voornamelijk redactionele aard of met als doel de tekst te verduidelijken.

De Afdeling advisering van de Raad van State geeft U in overweging het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal, nadat met het vorenstaande rekening zal zijn gehouden.

Ik moge U, mede namens mijn ambtgenoot van Binnenlandse Zaken en Koninkrijksrelaties en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Minister voor Rechtsbescherming, S. Dekker